Компания Microsoft закрыла критическую уязвимость в почтовом сервисе Hotmail, позволяющую получить доступ к любому почтовому аккаунту сервиса. Уязвимость заключалась в возможности смены пароля, с использованием системы восстановления пароля и незначительную модификацию передаваемых на веб-сервер данных. Причиной уязвимости послужила недостаточная проверка входных данных на стороне сервера, в частности неполная реализация системы проверочных ключей. Система проверяла лишь наличие ключа, а не его верность. Уязвимость была обнаружена 6 апреля, а компания Microsoft устранила её только 21 апреля. Неизвестное, но большое число аккаунтов оказались взломаны, в частности предложения о платном взломе почтовых ящиков MSN Hotmail появлялись на хакерских форумах и были востребованы. За то время, которое компания Microsoft потратила на устранение уязвимости, хакеры опубликовали несколько обучающих видео на YouTube, демонстрирующие принцип обхода защиты с использованием расширения Tamper Data для веб-браузера Mozilla Firefox.
Подробности