Szerző: Bodnár Ádám

2008. augusztus 7. 11:56

Banális sebezhetőséget javítottak a Freemailben, a Citromail talán még mindig sérülékeny

Helyi és távoli kódfuttatást lehetővé tevő sebezhetőséget javítottak a Freemailen -- számol be az AndreiGround Online . A több mint egymillió felhasználót kiszolgáló webes levelezőrendszer egyáltalán nem ellenőrizte a levelek tárgyát, ide a küldő tetszőleges HTML-kódot vagy JavaScriptet írhatott, ami a levél megnyitásakor automatikusan lefutott. Közben hasonló hibát fedeztek fel a Citromailben is.

[HWSW] Helyi és távoli kódfuttatást lehetővé tevő sebezhetőséget javítottak a Freemailen -- számol be az AndreiGround Online. A több mint egymillió felhasználót kiszolgáló webes levelezőrendszer egyáltalán nem ellenőrizte a levelek tárgyát, ide a küldő tetszőleges HTML-kódot vagy JavaScriptet írhatott, ami a levél megnyitásakor automatikusan lefutott. Közben hasonló hibát fedeztek fel a Citromailben is.

A Freemailezők valószínűleg nem is voltak tisztában vele, milyen veszélyben voltak. A tárgy mezőbe írt kódokkal támadók a beleegyezésük nélkül átirányíthatták volna őket például egy kártékony kódot tartalmazó weboldalra, vagy akár JavaScript segítségével maguk csempészhettek volna ártó programokat a felhasználók gépeire. Ha egy postafiókban az így preparált levél volt az egyetlen, abban a kód már mappanézeben lefuthatott, ugyanis a levelet a Freemail ilyenkor automatikusan megnyitja.

A hiba ellen a scriptfuttatás tiltásával sem lehet védekezni, ugyanis a Freemail működéséhez elengedhetetlen a JavaScriptek engedélyezése. A távoli scriptek letiltása sem jelentett megoldást, ugyanis a levelek tárgyába ágyazott scriptek már lokálisnak számítanak, hiszen a helyi kódhoz fűződnek és helyben hajtódnak végre -- olvasható az AndreiGroundban. A T-Online-t tegnap hajnalban értesítették a sérülékenységről, amelyet délutánra ki is javítottak a fejlesztők.

Az AndreiGround beszámolója alapján a fent leírthoz rendkívül hasonló sérülékenység van a Citromail webes levelezőben is, ahol a tárgy mezőn kívül a levél törzsében is el lehet helyezni tetszőleges kódot, ami lehet akár ártó szándékú is. A sebezhetőség felfedezői már tájékoztatták a másfél millió postafiókkal rendelkező Citromail üzemeltetőit.

a címlapról

money

9

Mire költ egy kiberbűnöző?

2025. május 30. 10:30

Lamborghini? Kacsalábon forgó palota? Bitcoin? Kutyakozmetika? Ebben a weeklyben az illegálisan megszerzett vagyon nyomába eredünk.