Webmailin xss-ongelma - Tietoturva - Ilta-Sanomat

Yahoo paikkasi sähköpostisuodattimen aukon

Yahoo! Inc. kertoo paikanneensa tietoturvayhtiö GreyMagicin tunnistaman webmail-palvelujen haavoittuvuuden. Microsoft ennätti paikaamaan Hotmailinsa jo ennen haavoittuvuuden julkistusta. Haavoittuvuuden vaikutuksista muihin webmail-palveluihin ei ole tietoa toistaiseksi.

25.3.2004 8:34

Yahoon edustaja kertoi PCWorldille yhtiön ryhtyneen etsimään ratkaisua ongelmaan heti saatuaan tiedon asiasta. Hän ilmoitti yhtiön asentaneen cross site scripting -hyökkäyksen estävät päivitykset tiistaina palveluunsa, PCWorld kertoo.

GreyMagicin maanantaina julkaiseman varoituksen mukaan Yahoo ei vastannut yhteydenottoihin, kun yhtiö yritti kertoa löytämästään haavoittuvuudesta.

Haavoittuvuuden avulla webmail-palveluiden html-viestien suodatus voidaan ohittaa. Suodatuksen kierto onnistuu Internet Explorerin HTML+TIME-laajennusten avulla. Hyväksikäyttö toimii vain, jos haittaviesti luetaan IE-selaimella, GreyMagic kertoi maanantaina.

Tietoturvayhtiön mukaan haavoittuvuus olisi mahdollistanut muun muassa palvelujen kirjautumistunnusten ja sähköpostiviestien varastamisen.

GreyMagic testasi hyväksikäytön toimivuuden ainostaan Yahoon ja Hotmailin palveluissa. Yhtiö kuitenkin varoitteli, että sama suodatuksen ohitus voi onnistua myös muissa webmail-palveluissa

Osion tuoreimmat

Luitko jo nämä?