Microsoft сегодня срочно исправила серьезную уязвимость в программном обеспечении почтового сервиса Hotmail. Указанная уязвимость позволяла потенциальному хакеру сбрасывать пароль от пользовательских аккаунтов в Hotmail. Еще больше ситуацию усугубило то обстоятельство, что эксплоит для данного бага был активно распространен в интернете: в сети уже начали продаваться услуги по коммерческому взлому Hotmail-аккаунтов за 20 долларов. Специалисты по компьютерной безопасности обнаружили уязвимость в Hotmail еще в начале апреля и предупредили об этом Microsoft, однако исправление было выпущено лишь одновременно с началом массового взлома аккаунтов. Подробные данные методе взлома Hotmail были размещены по адресу http://www.whitec0de.com/new-hotmail-exploit-can-get-any-hotmail-email-account-hacked-for-just-20/ При помощи специальных аддонов для Firefox выяснилось, что модно получать данные между пользователем и сервером Hotmail. На данный момент не известно, сколько именно аккаунтов уже было взломано и как широко распространился экслоит. На сегодня Hotmail является самым популярным веб-севрисом электронной почты с базой в 350 млн человек. (16:12) 27.04.2012 http://cybersecurity.ru/crypto/149909.html
В Hotmail устранили баг с удалённой сменой пароля Компания Microsoft опубликовала бюллетень безопасности, в котором сообщает о выпуске заплатки для критической уязвимости в почтовой службе MSN Hotmal. Патч выпустили после обнаружения действующего эксплойта, который позволял в удалённом режиме сменить пароль для веб-почты Hotmail на произвольный. Как сообщается в бюллетене, «при смене пароля с включенной защитой токеном последняя проверяла только наличие/отсутствие пустого значения. В случае пустого значения веб-сессия блокировала или закрывалась. Злоумышленник мог, например, обойти защиту токеном, введя значения “+++)-“. Удачный эксплойт позволял получить неавторизованный доступ к аккаунту MSN или Hotmail. Злоумышленник мог декодировать CAPTCHA и посылать автоматизированные значения через модуль MSN Live Hotmail». На практике, чтобы сменить пароль к чужому аккаунту, достаточно было воспользоваться Firefox-плагином Tamper Data, выбрать на сайте Hotmail пункт «Забыл пароль» и подменить исходящие HTTP- данные, как показано на видео . Злоумышленник мог без труда сменить пароль для любого аккаунта Hotmail. Эксплойт для данной уязвимости был обнаружен хакером из Саудовской Аравии с популярного сайта по безопасности dev-point.com, после чего широко разошёлся по хакерским форумам. Нужно заметить, что Hotmail — крупнейший почтовый сервис в интернете с 364 миллионами аккаунтов. Он опережает Gmail и Yahoo Mail, которые занимают второе и третье место. Нынешняя версия MSN Hotmail была представлена в 2007 году и, надо полагать, баг присутствовал в ней с самого начала. Говорят, это не единственная уязвимость в Hotmail, которая позволяет получить доступ к чужому аккаунту. Дата: 27.04.2012 http://www.xakep.ru/post/58624/