OPPDATERING: Microsoft har utstedt en midlertidig permanent løsning for en tidligere ukjent feil i SIN MSN Hotmail Web-e-posttjeneste som kunne ha tillatt eksterne angripere å tilbakestille kontopassord.
feilen i tilbakestillingsfunksjonen for passord tillot en ekstern angriper å tilbakestille Hotmail / MSN-passordet med egne verdier, ifølge en melding publisert Av Seniorforsker Benjamin Kunz Mejri I Vulnerability Laboratory. Det påvirket Microsofts offisielle MSN Hotmail (Live) – tjeneste. Eksterne angripere kan bruke sikkerhetshullet til å omgå passordgjenopprettingstjenesten for å sette opp et nytt passord, ifølge varselet.
Hotmail Er verdens største web-baserte e-postleverandør, touting noen 364 millioner brukere. Feilen vil også tillate en angriper å omgå MSN Hotmails token-baserte påloggingsbeskyttelse. Ifølge Sårbarhetslaboratorierapporten kontrollerer token-beskyttelsen bare om inndataverdiene er tomme før du blokkerer eller lukker webøkten. Mejri klarte å omgå den funksjonen ved å skrive inn en streng med tegn, i dette tilfellet’+++) -.»
» på fredag adresserte Vi en hendelse med tilbakestilling av passord; det er ingen handling for kunder, da de er beskyttet,» fortalte En Microsoft-talsmann Threatpost via e-post.
ifølge en rapport publisert På WhiteC0de ble utnyttelsen først oppdaget av En Saudiarabisk hacker som jobbet for Dev-point.com og var, lekket til hacker fora, hvor det spredte seg raskt. Til tross for rask handling for å fikse feilen, Whitec0de hevder Det har vært mye brukt til å kompromittere Hotmail-kontoer. I sin tur ble uautorisert tilgang til disse e-postkontoene utnyttet for å få tilgang til sosiale medier, økonomiske og andre kontoer knyttet til disse adressene.