12/09/01

NOTICIAS

Hotmail y su incompatibilidad con Javascript


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

Se descubre una nueva técnica para saltarse los filtros de seguridad del popular servidor de correo a través de comandos Javascript

De nuevo el servidor de correo webmail más utilizado del mundo presenta agujeros de seguridad. Se ha descubierto que escribiendo una línea de programación en Javascript en la casilla "From" (De) en un e-mail que se envíe a un usuario de Hotmail, un atacante puede evadir los filtros que Microsoft desarrolló para proteger a los millones de clientes que confían en su popular webmail. Hay que recordar que no es la primera vez que la compañía lucha contra las vulnerabilidades relacionadas con códigos Javascript. De hecho, sus investigaciones en este campo se remontan al año 1998.

De acuerdo con la explicación del descubridor del nuevo agujero del servidor de correo, el holandés Bart van Arnhem, Hotmail toma de la casilla "From" la dirección de un mensaje entrante y lo reconstruye en código HTML para visualizar el buzón de correo del usuario de Hotmail.

La vulnerabilidad descubierta reviste bastante gravedad puesto que no importa si la víctima abre o no el mensaje "maligno", de hecho simplemente con consultar la bandeja de entrada se procede a la activación del código en Javascript. Una vez ocurrido esto, según Elias Levy, experto en seguridad de SecurityFocus, la vulnerabilidad permitiría a un intruso escribir un programa en Javascript que robara a un usuario de Hotmail sus credenciales personales lo que le permitiría leer, borrar y enviar mensajes en su lugar.

La demostración enviada por Van Arnhem muestra como la técnica puede ser usada para que se abra una ventana pop up cuando el usuario de Hotmail abra su buzón. Además, se puede programar para que, inmediatamente, la bandeja del navegador se redireccione a una URL donde se guarde toda la información haciendo que el usuario del webmail ponga en marcha un programa residente en un servidor remoto.

El holandés ha confesado que descubrió el nuevo agujero a raíz de la descripción del experto búlgaro en seguridad Georgi Guninski, quien explicaba cómo incluir Javascript en los mensajes de Hotmail utilizando etiquetas IMG. De momento, Microsoft ha ha optado por no hacer declaraciones mientras se realizan las investigaciones pertinentes.


Copyright © VIRUSPROT.COM