Renaud Lifchitz из французкой консалтинговой компании Sysdream сообщает о наличии уязвимости в популярной почтовой службе Microsoft MSN Hotmail. Уязвимость связана с некорректной фильтрацией Hotmail javascript-кода в почтовых сообщениях. Как сообщает автор, javascript-код может быть вставлен в BGCOLOR тэга BODY, используя технолгию CSS (каскадный стиль таблиц). Скрипт должен быть представлен в кодировке Unicode для обхода фильтрации Hotmail. Подобная кодировка поддерживается браузером IE версии 6.0 и выше. Возможность выполнения кода при просмотра письма через Вэб-интерфейс почтовой системы Hotmail может позволить злоумышленнику перехватить cookies, и похитить атрибуты HTML-сессии, что, в свою очередь, позволит злоумышленнику похитить адрес электронной почты жертвы и адресную книгу.
Описание