Vendredi 24 septembre 1999 |
|
Hotmail ne résiste pas à un javascript trop
curieux
Après avoir été ouvert à tous
sans mot de passe (voir notre
article du 2 septembre 1999), Hotmail se laisse cette
fois attraper par un simple javascript. Déjà
attaqué il y a un an pour un bug similaire, Microsoft
avait réagi en installant un filtre empêchant
ce genre d'astuce d'être renouvelée.
Pourtant, le chasseur de bugs bulgare Georgi Guninski a fait
la démonstration qu'il était toujours possible
de subtiliser le mot de passe d'un abonné Hotmail à
son insu. L'exploit réside dans un code javascript
(code interprété permettant d'ouvrir des fenêtres
et de gérer des entrées sorties habituellement)
inséré dans les tags "image" (<img
src> en html) d'un message envoyé au format html.
Les experts en sécurité poussent non seulement
Hotmail mais aussi les autres fournisseurs d'emails gratuits
à filtrer plus intensément l'html envoyé.
En effet, le javascript pourrait être assez facilement
adaptable aux services utilisant la même technologie
que Microsoft. D'ici là, sur Hotmail mieux vaut désactiver
les javascripts.
Responsable de rubrique : Alain Steinmann
|
|