Рено Лившиц из французкой
консалтинговой компании Sysdream сообщает о
наличии уязвимости в популярной почтовой
службе Microsoft MSN Hotmail. Уязвимость связана с
некорректной фильтрацией Hotmail javascript-кода в
почтовых сообщениях. Как сообщает автор,
javascript-код может быть вставлен в BGCOLOR тэга BODY,
используя технолгию CSS. Скрипт должен быть
представлен в кодировке Unicode для обхода
фильтрации Hotmail. Подобная кодировка
поддерживается браузером IE версии 6.0 и выше.
Возможность выполнения кода при просмотра
письма через Вэб-интерфейс почтовой
системы Hotmail может позволить
злоумышленнику перехватить cookies, и похитить
атрибуты HTML-сессии, что, в свою очередь,
позволит злоумышленнику похитить адрес
электронной почты жертвы и адресную книгу.
