Корпорация Microsoft сообщила об устранении уязвимости нулевого дня в почтовом сервисе Hotmail, которая позволяла злоумышленникам перехватывать электронные адреса и контактные данные пользователей.
Как сообщается, для эксплуатации уязвимости пользователю нужно было всего лишь открыть специально подготовленное письмо в выполнить заложенный в нем скрипт.
По словам Карла Домингеза, технического инженера Microsoft, анализ присланных образцов кодов показал, что скрипт пытается соединиться с заранее указанными пользователями Hotmail, что говорит об узкой направленности атаки. Хотя технически, данный тип атаки работал бы для всех аккаунтов Hotmail.
URL, на который указывал скрипт, подключался по цепочке к другому скрипту, который требовал авторизацию у Hotmail и получал ее через ранее предоставленные пользователем при входе сведения.
"Фактически, атака эксплуатирует преимущества современных скриптовых технологий и CSS фильтрации. В Microsoft уже приняли необходимые меры для закрытия указанной уязвимости", - говорит Домингез.
Источник: CyberSecurity
|
