| Asunto: | [SauloNet] Aviso de Panda Software | | Fecha: | Viernes, 23 de Julio, 2004 04:59:47 (+0000) | | Autor: | *P. CHONG* <pc_dragon @...com>
|
Envio esta noticia de Panda Software por considerarla importante,
Saludos,
P.Chong
"Nada se sabe bien sino por medio de la experiencia".
Sir Francis Bacon (1561-1626); filósofo y estadista británico.
- Suplantación de usuarios en Hotmail -
Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)
Madrid, 20 de julio de 2004 - Las vulnerabilidades del tipo Cross-Site
Scripting se producen al no filtrar de forma adecuada las URLs o el código
HTML, permitiendo que un tercero pueda inyectar comandos que se ejecutarán
en el sistema del usuario al visualizar la página web.
Basado en esta técnica, SecurityTracker publica, en
http://www.securitytracker.com/alerts/2004/Jul/1010726.html, un caso
concreto de Cross-Site Scripting que puede afectar a los usuarios de Hotmail
que utilizan Internet Explorer. En esta ocasión, se aprovecha la posibilidad
de incluir código script en los comentarios HTML a través de sentencias IF.
El efecto más perjudicial de este ataque es el robo de las cookies
utilizadas en la autentificación del servicio Hotmail. Esto permite al
atacante entrar en el buzón de la víctima y hacerse pasar por ella, tanto
para acceder a sus correos electrónicos como para enviar mensajes en su
nombre.
A la espera de que Hotmail corrija el problema filtrando adecuadamente el
código HTML de los mensajes, se recomienda a los usuarios no visualicen
aquellos correos que provengan de fuentes o remitentes no confiables.
_________________________________________________________________
MSN Amor: busca tu ½ naranja http://latam.msn.com/amor/
|
Aviso de Panda Sof
Responder a este mensaje