Hotmail-Accounts konnten auch ohne Phishing missbraucht werden

Manfred Kohlen,
SicherheitSicherheitsmanagement

Am Wochenende musste Microsoft Teile seiner MSN-Webseiten abschalten, um eine Sicherheitslücke zu beseitigen. Der beruhte auf der Architektur der Website und erlaubte es, auf fremde E-Mail-Konten zuzugreifen.

Auf dem Angebot ilovemessenger.msn.com fand sich der Fehler, über den per Cross-Site-Scripting Cookies von Hotmail-Usern umgeleitet werden konnten. Den Nutzern musste nur eine manipulierte URL gesendet werden, um die Cookies umzuleiten. Über die kleinen digitalen Kekse wiederum, die dann auf dem falschen Rechner landen, ist ein Hotmail-Zugriff auch ohne Passwort-Abfrage möglich.

Der niederländische Programmierer Alex de Vries hatte die Lücke entdeckt und meldete sie an die Sicherheits-Website Full Disclosure. (mk)

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen