Cross-Site Scripting lek in Hotmail en Yahoo
Het Israelische GreyMagic Software heeft vandaag een advisory voor een remote exploitable Cross-Site Scripting lek in Hotmail en Yahoo gepubliceerd. Door het lek in de filter technologie kan men kwaadaardige content in een Yahoo of Hotmail e-mail bericht meesturen, waardoor een aanvaller logingegevens kan stelen, de e-mails in de inbox kan bekijken en andere lekken in het besturingssysteem kan misbruiken, waardoor het hele systeem gecompromitteerd kan worden. Het lek, dat in Yahoo in combinatie met Internet Explorer en in Hotmail in combinatie met Internet Explorer aanwezig is, is mogelijk ook in andere web-based services die HTML proberen te filteren aanwezig. Een demonstratie en verdere uitleg van het lek staat in deze advisory. Greymagic heeft samen met Microsoft aan een oplossing gewerkt, waardoor Hotmail NIET meer kwetsbaar is. Het bedrijf kon geen contact krijgen met Yahoo, waardoor Yahoo! webmail nog steeds lek is.
Het lek, dat in Yahoo in combinatie met Internet Explorer en
in Hotmail in combinatie met Internet Explorer aanwezig is,
is mogelijk ook in andere web-based services die HTML
proberen te filteren aanwezig
/end quote
Tja, gewoon Mozilla gebruiken i.p.v. IE. Simpel :-)
Tja, gewoon Mozilla gebruiken i.p.v. IE. Simpel :-)
Denk dat je het dan niet helemaal snapt.
IE is niet lek wat dit betreft. Hotmail is lek en alleen met IE is dit lek
in Hotmail uit te buiten door een hacker. De hacker draait IE en pats,
daar gaan je gegevens.
De eigenaar van een hotmail-account die met een Mozilla browst is
net zo kwetsbaar als gebruikers met IE.
terugkrijgt die ook in de adresblk zit. Op sommige manieren kun je dan via
de adresbalk Html en scripts in de pagina verwerken.
Een voorbeeld;
https://secure.moxmo.com/signup/presignup/planet/index.html?
name=.htmltag. _blaaa_.htmltag.
De reden dat de xss vuln die bij hiotmail gevonden is alleen bij IE werkt, zal
wel zijn omdat het VBscript gebruikt. Netscape gebruikt geen Vbscript.
De eigenaar van een hotmail-account die met een Mozilla
browst is
net zo kwetsbaar als gebruikers met IE.
Ehm.. er staat toch heeeeel duidelijk Hotmail IN COMBINATIE
met IE. Dus ik denk idd dat jij het dan niet helemaal snapt.
Leuk zo'n spelletje ping pong :-P
Waarom is Yahoo dan nog uit te buiten met IE en Hotmail niet meer
terwijl er geen patch voor IE is uitgegeven?
Waarom zouden Hotmail en Yahoo aangepast moeten worden als
dat simpelweg door 1 patch op IE voor beide mail-providers
geregeld zou kunnen worden?
scripting vulnerability is. hopelijk geen developers ;)
wel html in handtekeningen of topics toelaten, maar scripts
proberen te filteren.
te maken, je ziet makkelijk iets over het hoofd.
beste blijft om alle html weg te gooien, uitgezonderd zeer strak
gedefineerde, ongevaarlijke tags.
gebruik gemaakt van TAGS. [img]http://server.com/evil_code[/img] en die
stuur je dan naar de Admin via Guestbook of Private Mail(u2u). Eenmaal
opent de Admin het bericht voert de browser via legale manier een
aangepaste "crafted_url". En pasta je bent SuperUser. Het is puur gebruik
maken van de legale gaten (functies) in de wet van Internet Explorer.
XaNcE
Merkwaardig dan.
Waarom is Yahoo dan nog uit te buiten met IE en Hotmail niet
meer
terwijl er geen patch voor IE is uitgegeven?
Waarom zouden Hotmail en Yahoo aangepast moeten worden als
dat simpelweg door 1 patch op IE voor beide mail-providers
geregeld zou kunnen worden?
Omdat IE graag 'extra functionaliteit' biedt, om er voor te
zorgen dat veel webpagina's slecht weergegeven worden door
browsers die de officiele standaards volgen. Uit de advisory:
"It so happens that Internet Explorer provides one other
mechanism to declare a namespace, via the non-standard
<?xml:namespace> processing instruction, which may be used
anywhere in the document and does not get filtered."
Je zou dus inderdaad IE kunnen fixen door de non-standard
instructie te weigeren, maar dan moeten sommige webpagina's
worden aangepast, en worden die pagina's beter te bekijken
met concurrerende browsers. Dan maar liever een extra
filtertje op Hotmail.
groeten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
