Banális sebezhetőséget javítottak a Freemailben, a Citromail talán még mindig sérülékeny
Helyi és távoli kódfuttatást lehetővé tevő sebezhetőséget javítottak a Freemailen -- számol be az AndreiGround Online . A több mint egymillió felhasználót kiszolgáló webes levelezőrendszer egyáltalán nem ellenőrizte a levelek tárgyát, ide a küldő tetszőleges HTML-kódot vagy JavaScriptet írhatott, ami a levél megnyitásakor automatikusan lefutott. Közben hasonló hibát fedeztek fel a Citromailben is.
A Freemailezők valószínűleg nem is voltak tisztában vele, milyen veszélyben voltak. A tárgy mezőbe írt kódokkal támadók a beleegyezésük nélkül átirányíthatták volna őket például egy kártékony kódot tartalmazó weboldalra, vagy akár JavaScript segítségével maguk csempészhettek volna ártó programokat a felhasználók gépeire. Ha egy postafiókban az így preparált levél volt az egyetlen, abban a kód már mappanézeben lefuthatott, ugyanis a levelet a Freemail ilyenkor automatikusan megnyitja.
A hiba ellen a scriptfuttatás tiltásával sem lehet védekezni, ugyanis a Freemail működéséhez elengedhetetlen a JavaScriptek engedélyezése. A távoli scriptek letiltása sem jelentett megoldást, ugyanis a levelek tárgyába ágyazott scriptek már lokálisnak számítanak, hiszen a helyi kódhoz fűződnek és helyben hajtódnak végre -- olvasható az AndreiGroundban. A T-Online-t tegnap hajnalban értesítették a sérülékenységről, amelyet délutánra ki is javítottak a fejlesztők.
Az AndreiGround beszámolója alapján a fent leírthoz rendkívül hasonló sérülékenység van a Citromail webes levelezőben is, ahol a tárgy mezőn kívül a levél törzsében is el lehet helyezni tetszőleges kódot, ami lehet akár ártó szándékú is. A sebezhetőség felfedezői már tájékoztatták a másfél millió postafiókkal rendelkező Citromail üzemeltetőit.