Szerző: Bodnár Ádám

2008. augusztus 7. 11:56

Banális sebezhetőséget javítottak a Freemailben, a Citromail talán még mindig sérülékeny

Helyi és távoli kódfuttatást lehetővé tevő sebezhetőséget javítottak a Freemailen -- számol be az AndreiGround Online . A több mint egymillió felhasználót kiszolgáló webes levelezőrendszer egyáltalán nem ellenőrizte a levelek tárgyát, ide a küldő tetszőleges HTML-kódot vagy JavaScriptet írhatott, ami a levél megnyitásakor automatikusan lefutott. Közben hasonló hibát fedeztek fel a Citromailben is.

[HWSW] Helyi és távoli kódfuttatást lehetővé tevő sebezhetőséget javítottak a Freemailen -- számol be az AndreiGround Online. A több mint egymillió felhasználót kiszolgáló webes levelezőrendszer egyáltalán nem ellenőrizte a levelek tárgyát, ide a küldő tetszőleges HTML-kódot vagy JavaScriptet írhatott, ami a levél megnyitásakor automatikusan lefutott. Közben hasonló hibát fedeztek fel a Citromailben is.

A Freemailezők valószínűleg nem is voltak tisztában vele, milyen veszélyben voltak. A tárgy mezőbe írt kódokkal támadók a beleegyezésük nélkül átirányíthatták volna őket például egy kártékony kódot tartalmazó weboldalra, vagy akár JavaScript segítségével maguk csempészhettek volna ártó programokat a felhasználók gépeire. Ha egy postafiókban az így preparált levél volt az egyetlen, abban a kód már mappanézeben lefuthatott, ugyanis a levelet a Freemail ilyenkor automatikusan megnyitja.

A hiba ellen a scriptfuttatás tiltásával sem lehet védekezni, ugyanis a Freemail működéséhez elengedhetetlen a JavaScriptek engedélyezése. A távoli scriptek letiltása sem jelentett megoldást, ugyanis a levelek tárgyába ágyazott scriptek már lokálisnak számítanak, hiszen a helyi kódhoz fűződnek és helyben hajtódnak végre -- olvasható az AndreiGroundban. A T-Online-t tegnap hajnalban értesítették a sérülékenységről, amelyet délutánra ki is javítottak a fejlesztők.

Az AndreiGround beszámolója alapján a fent leírthoz rendkívül hasonló sérülékenység van a Citromail webes levelezőben is, ahol a tárgy mezőn kívül a levél törzsében is el lehet helyezni tetszőleges kódot, ami lehet akár ártó szándékú is. A sebezhetőség felfedezői már tájékoztatták a másfél millió postafiókkal rendelkező Citromail üzemeltetőit.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról