引:微软在得知攻击者能够登陆Hotmail账户的漏洞后,于此周末将部分MSN网站关闭。
微软代表星期一表示,MSN网站http://ilovemessenger.msn.com/包括所谓的跨站点的脚本漏洞。在最初版本中,公司发现攻击者能使用此漏洞让用户点击恶意URL,从而获取Hotmail用户的“cookies”。然后他们能授权登陆他们的e-mail账户。
微软表示,Cookies是存储在计算机中包含用户数据的小文件。Hotmail是世界上最出名的基于Web的e-mail服务,拥有超过两亿的用户。
在星期六法国程序师Alex deVries在安全爱好者的Net-Force网站透漏了安全漏洞后,微软承认Hotmail事件。
跨网站的脚本漏洞是在网站设计中的错误,而不是在网络浏览器中,五年前就已发现。微软将此漏洞描述为安全弱点。
微软代表在e-mail中表示,Hotmail用户现在并没有处在危险之中。“I Love Messenge网站已经处在不激活的状态了。此网站供MSN Messenger发表文字、显示图片和背景之用。微软的免费即刻聊天服务,一旦被解析,即将被存储。”在太平洋时间星期一下午,输入I Love Messenger网址,即被定向到MSN Messenger的主站点上。
在微软承认南韩的MSN网站被黑之后不到一个星期,Hotmail和MSN的问题就随之而来。攻击者在MSN南韩站点的新闻部分放置恶意程序,试图盗取亚洲正流行的在线游戏“Lineage”的密码。
|
