Userbase

De 16-jarige Nederlander Adriaan Graas heeft een cross-site scripting-lek (xss) gevonden in Hotmail. Microsoft heeft een week na de melding het lek nog niet gedicht.

"Je kan een link maken naar deze pagina met geïnjecteerde code", legt Graas uit. "Een ingelogde Hotmail- gebruiker stuurt door de geïnjecteerde code zijn login- cookie - het bestand waar door hotmail wordt bijgehouden of de gebruiker is ingelogd - naar de computer van de hacker.
Deze kan dan de cookie-informatie gebruiken om zelf in te loggen op het account van het slachtoffer. Daarbij kan hij alle handelingen uitvoeren die de normale hotmail-gebruiker ook zou kunnen doen."

Volgens Graas reageert Microsoft niet correct op zijn bevindingen. "Er zijn meer soortgelijke lekken ontdekt de afgelopen jaren. Ik ben ervan overtuigd dat er meer zullen volgen. Het duurde mij vijf uur om drie lekken te vinden, waavan er twee bruikbaar zijn. Ik kan de gemiddelde computergebruiker in minder dan een week aanleren hoe hij hetzelfde zou kunnen ontdekken en uitvoeren."

<img src="http://upload.userbase.be/upload/mspatch_kl.jpg" align="right" width="60" height="50">Naar eigen zeggen heeft Graas het lek op 27 juni gerapporteerd aan de softwaremaker en is het lek nog altijd niet gedicht. Tijdens dit schrijven was Microsoft niet bereikbaar om het lek te bevestigen.

Bron: Webwereld.nl van 4 juli 2006

en dan durft microsoft beweren dat ze steeds werken aan de veiligheid van de gebruiker.

Want als meerdere mensen dit lek gaan misbruiken, komen waarschijnlijk ook de premiumgebruikers van hotmail in gedrang niet ???

digitalservice schreef:en dan durft microsoft beweren dat ze steeds werken aan de veiligheid van de gebruiker.

Het is toch absoluut normaal dat Microsoft niet direct reageerd.
Wat wil je met zo'n grote bedrijven. Tegen dat het van de ene naar de andere secretaresse toegekomen is (met alle koffiepauzes & klets ertussen) kan het natuurlijk weken duren. Grote bedrijven zijn log en reageren niet altijd snel. Dat is absoluut normaal. Het mag natuurlijk wat sneller maar moest je eens weten wat er allemaal aanhangt.

Ken schreef:Het mag natuurlijk wat sneller maar moest je eens weten wat er allemaal aanhangt.

Dat is juist, grote bedrijven zoals onderandere MS reageren altijd iets trager.

Toch hoed af voor deze 16-jarige, al dan niet met de hulp van een oude haas in het vak. (zo als bijvoorbeeld navraag bij zijn opzoekingen om zijn ontdekking te staven)

Wat geenszins afbreuk zou doen aan zijn ontdekking!

Webwereld.nl heeft een Erratum toegevoegd aan hun tekst:

Microsoft laat in een e-mail aan Graas weten het lek te onderzoeken. "We hebben een zaak aangemaakt en nemen contact op indien we meer informatie nodig hebben. Tot die tijd verzoeken we het lek niet openbaar te maken zodat gebruikers de kans krijgen zich te beschermen."

Wat er voordien stond, kan je lezen in de topic-start.

Jammer is het nu ondertussen toch al openbaar gemaakt, dus... MS heeft toch te traag gereageerd.

Ken schreef:

digitalservice schreef:en dan durft microsoft beweren dat ze steeds werken aan de veiligheid van de gebruiker.

Het is toch absoluut normaal dat Microsoft niet direct reageerd.
Wat wil je met zo'n grote bedrijven. Tegen dat het van de ene naar de andere secretaresse toegekomen is (met alle koffiepauzes & klets ertussen) kan het natuurlijk weken duren. Grote bedrijven zijn log en reageren niet altijd snel. Dat is absoluut normaal. Het mag natuurlijk wat sneller maar moest je eens weten wat er allemaal aanhangt.

We hebben het hier niet over ergens een virusscanner die een update moet krijgen, maar over een geïmplementeerd systeem, verspreid over verschillende servers over verschillende datacenters. Zomaar een patch uitrollen op die schaal, zonder de continuïteit in gevaar te brengen ... Dat doe je niet op 5 dagen. Hij vergeet hier fijn het onwikkelings /test /acceptatie / productie-traject ...

Homepage van Adriaan: http://adriaangraas.feetback.nl./

Ook member van http://www.net-force.nl/: leuke security challenges. Probeer maar eens, maar let op het is verschrikkelijk verslavend