Hotmail-Angriff per Javascript

Auf "übriggebliebene" Angriffspunkte bei Microsofts Freemail-Dienst Hotmail hat Georgi Guninski hingewiesen. Web-Mail-Dienste stellen E-Mails im Browser dar. Dadurch kam es schon in der Vergangenheit zu Angriffen durch Javascript und andere aktive Inhalte in den Nachrichten: Ein paar Zeilen Code können den Benutzer beispielsweise über eine fingierte Fehlermeldung zur erneuten Eingabe seines Passworts auffordern. Hotmail (und andere Dienstleister) hatten als Reaktion auf die damaligen Meldungen begonnen, Javascript aus E-Mails herauszufiltern.

Guninski hat nun eine Möglichkeit gefunden, zumindest Hotmail auszutricksen, indem er Javascript-Code in HTML-Tags versteckt, die von dem Freemail-Dienst nicht geprüft werden. Ein unmittelbarer Zugangs ist hierdurch zwar nicht gegeben, Anwender sollten aber auf merkwürdige Fehlermeldungen achten und nicht leichtfertig ihr Passwort in Dialogboxen eintippen. Wer auf Nummer Sicher gehen will, sollte Javascript kurzerhand abschalten. Auf Grund der immer wieder auftretenden Sicherheitsprobleme mit aktiven Inhalten ist das ohnehin ratsam. Ob der geschilderte Angriff auch bei anderen Freemail-Diensten funktioniert, ist noch unklar. (nl)