Artykuły dotyczące tematu: Hotmail

dodany: 23.10.2012 | tagi: , , ,

Hotmail zawodzi swoich użytkowników

2

Hotmail zawodzi ponad 350 000 000 użytkowników w kwestii bezpieczeństwa nie dając im prostego sposobu, aby dowiedzieć się czy do ich konta dostały się osoby nieupoważnione.

Hacki kont pocztowych są niepokojąco powszechne i można sobie wyobrazić, że każdy popularny serwis internetowy da swoim użytkownikom możliwość na sprawdzenie, czy ich konto zostało niedawno udostępnione w jakiś niestandardowy sposób lub gdy nikt z konta nie korzystał, lub gdy logowano się z urządzenia innego, niż zawsze.

Google i Yahoo mają taki system. W Google można zobaczyć wyszczególnioną listę z czasem i adresami IP dostępną w ustawieniach. Yahoo postawiło na dodanie funkcji obejrzenia ostatnich aktywności w swoich ustawieniach, która pokazuje czas ostatnich aktywności na koncie i wyszczególnioną listę z adresami IP. Ale co z Microsoftowym Hotmailem? Niestety obawiam, się, ze mam złą wiadomość. Nie znajdziecie czegoś takiego w usłudze poczty Hotmail.

Graham Cluley z naked security postanowił sprawdzić u źródła jak się sprawy mają i kontakt w zakresie egzekwowania prawa powiedział mu, że Hotmail „zbiera” informacje o aktywności na koncie, i mogą one być wydobyte na światło dzienne, ale oczywiście z odpowiednią dokumentacją prawną, i tylko jeśli ma miejsce postępowanie karne, ale to nie wielkie pocieszenie dla kogoś, kto obawia się, że jego konto zostało zhakowane.

Microsoft zdaje się wkładać dużo pracy w rebranding swojej usługi pocztowej, więc oficjalnie publikuję wniosek o wdrożenie tak prostej, a jakże znaczącej funkcji dla użytkowników usługi Hotmail.

dodany: 12.10.2012 | tagi: , , ,

Niedawno załatana luka HTML powiązana z luką XSS w Hotmailu

0

Wada HTML, która została załatana przez Microsoft w październikowym Patch Tuesday, została wcześniej odkryta jako wada scross-site scripting w serwisie poczty elektronicznej Hotmail.

Microsoft załatał CVE-2012-2520, co zostało zidentyfikowane jako luka dotykająca kilku produktów Microsoftu. Ciągi HTML nie są prawidłowo obsługiwane przez aplikację co daje napastnikowi dostęp do zawartości, do której nie jest upoważniony lub do zdolności podejmowania działań udając jednocześnie użytkownika.

Luka umożliwiająca podniesienie uprawnień działa w taki sposób, że ciągi HTML są oczyszczane. Osoba atakująca, której uda się wykorzystać lukę może wykonać cross-site scripting i uruchomić skrypt w kontekście zabezpieczeń zalogowanego użytkownika.

Drew Hintz i Andrew Lyon, członkowie Google Security Team, odnotowali trwały błąd XSS w microsoftowym Hotmailu w maju tego roku. Microsoft uznał doniesienia inżynierów i umieścił je na swoje stronie dotyczącej bezpieczeństwa, a Google określiło lukę XSS jako CVE-2012-2520 na własnej stronie badawczej. Ponieważ usterka ma nieznany wynik bazowy CVSS, nie jest jasne jak poważną jest wadą. Ale warto zauważyć, że Microsoft oflagował ją jako „ważną”. Tyle, że o niej nie wspomina.

Dzięki odkryciu luki Microsoft znalazł jej pochodne w innych swoich produktach, do których poprawki znalazły się w opublikowanym w tym tygodniu biuletynie.