Wieder Javascript-Lücken bei Hotmail

Der bulgarische Bug-Jäger Georgi Guninski hat zwei Möglichkeiten gefunden, den Javascript-Filter in Microsofts Freemail-Dienst Hotmail auszutricksen. Diese Sicherheitslücken könnten Guninski zufolge dazu führen, dass unbefugt Passworte erfragt und versandt oder E-Mails ausgespäht würden.

Wer entsprechend präparierte E-Mails auf den Seiten von Web-Mail-Anbietern liest, läuft Gefahr, durch Javascript-Code genarrt zu werden, der in die betreffenden Mitteilungen eingebettet ist: Beispielsweise könnte eine fingierte Fehlermeldung auf der vermeintlich vertrauenswürdigen Site des Mail-Providers zur erneuten Eingabe des Passworts auffordern – in Wirklichkeit würde dieses dann aber an den Urheber der gerade gelesenen E-Mail verschickt. Hotmail und andere Freemailer filtern daher Javascript.

Entsprechender Code kann jedoch in etlichen HTML-Tags stecken. Guninski hat zum zweiten Mal Lücken in Microsofts Hotmail-Filter gefunden – zumindest eine davon will der Softwarekonzern bereits behoben haben. Nach Hinweisen in der Mailingliste Bugtraq soll auch Yahoo Javascript in bestimmten Tags übersehen. Darüber hinaus sind möglicherweise auch weitere Freemailer betroffen.

Mit dem durchgeschummelten Code könnte ein Angreifer neben gefälschten Login-Aufforderungen auch E-Mails des Anwenders lesen – so Guninski. Freemail-Benutzer sollten jedenfalls verstärkt auf merkwürdige Fehlermeldungen achten und nicht leichtfertig ihr Passwort in Dialogboxen eintippen. (nl)