Microsoft Hotmail-Loch gerade noch rechtzeitig gestopft

silicon.de,

Das MCRC, die Forschungsabteilung des Security-Softwareanbieters Finjan Software, hat eine kritische Sicherheitslücke in Microsofts web-basiertem E-Mail-Service Hotmail entdeckt.

Das Mobile Code Research Center (MCRC), die Forschungsabteilung des Security-Softwareanbieters Finjan Software, hat eine kritische Sicherheitslücke in Microsofts web-basiertem E-Mail-Service Hotmail entdeckt, die Cross Site Scripting ermöglicht hätte. Diese Lücke hätte Hackern erlaubt, beträchtliche Schäden im E-Mail-Verkehr zu verursachen. Microsoft wurde darüber informiert und hat, einer Mitteilung von Finjan zufolge, diese gemeinsam mit dem Softwareanbieter innerhalb von 24 Stunden geschlossen.
Weiter heißt es, der Active Content Filter von Hotmail sei machtlos gewesen gegenüber der Lücke und habe Active X Controls nicht auf angemessene Weise blockieren können. Die Schwachstelle betraf alle Systemplattformen, die auf E-Mail-Nachrichten von Hotmail zugreifen. Unter Active X Controls versteht man Programme, die zum Download bereitstehen und die selben Rechte und Privilegien wie der betreffende User haben. Sie erlauben den Zugriff auf Dateien und persönliche Informationen, die auf lokalen Systemen oder in Netzwerken gespeichert sind. Somit wäre eine Verletzung direkt nach dem Öffnen einer Mail eingetreten. Die Sicherheitslücke hätte außerdem einem Wurm erlauben können, das Adressbuch eines Hotmail-Accounts zu lesen, sich zu replizieren, und sich an alle im Adressbuch gespeicherten Personen zu versenden. Dieser Prozess hätte sich außerdem exponentiell wiederholen können, heißt es.

“Finjan bat uns, die Sicherheitslücke zu replizieren, um die Entdeckung zu bestätigen”, sagte Drew Copley, Research Engineer bei dem Security-Unternehmen eEye Digital Security. “Die Schwachstelle bestand tatsächlich. Sie hätte Hackern die Möglichkeit gegeben, Kontaktadressen zu stehlen, Mails im Namen von Hotmail-Nutzern zu schreiben und aktives Scripting zu betreiben. Dieses Sicherheitsproblem war extrem gefährlich, weil es einen automatisierten E-Mail-Wurm hätte verursachen können.”

Shlomo Touboul, Gründer und CEO von Finjan Software fügt hinzu, dass die Labs  ihre Aufgabe voll erfüllt hätten, “den Hackern einen Schritt voraus zu sein und gefährliche Sicherheitslücken zu entdecken, bevor sie mit böser Absicht ausgenutzt werden können”.