Sikkerhetshull i Hotmail-tjenester

Sikkerhetshullet gjelder for nettbaserte e-posttjenester som Hotmail og Yahoo! Mail, og gjør det mulig for en ondsinnet datasnok å oversvømme e-postservere ved hjelp av slike tjenester.

Det var budskapet som ble sendt ut på sikkerhetsforumet BugTraq torsdag.

For å utnytte hullet, lages en e-post med en vanlig html-lenke til for eksempel Hotmail eller Yahoos egen server. Lenken inneholder javaskript som så åpner et nytt vindu, hvor skriptet navigerer gjennom innboksen, skriver The Register.

Dermed kan "ormen" sende seg selv til alle i adresseboken, og derved fylle opp e-postservere og innbokser over hele verden, slik tilfellet var med Melissa og ILOVEYOU.

Hullet ble opdaget av Matt Parcens, som hevder å ha varslet Microsoft og andre selskaper med nettbaserte e-posttjenester allerede 23. mai. Microsoft hadde ikke hørt om hullet før Parcens publiserte sine konklusjoner på BugTraq, men sørget for at hullet ble lappet allerede fredag ettermiddag. Yahoo skal ha fikset saken iløpet av fredag kveld amerikansk tid, ifølge ZD Net.

En ondsinnet orm kunne ha lurt mange brukere, da lenken ville ha pekt til e-posttjenestens egen server, og ikke til en ekstern tjeneste.
Hotmail feiret nylig sin bruker nummer 100 millioner, og en løpsk orm kunne gjort mye skade i verdens e-postsystemer.

Les mer om Parcens konklusjoner på nettstedet Sidesport (åpner i nytt vindu).