雅虎及Hotmail出新漏洞 入侵者可窃取信息

以色列软件公司GreyMagic近日发布安全警告,称雅虎的Web邮件服务以及微软的Hotmail邮件服务都存在一个严重的安全漏洞,远程入侵者可以利用此漏洞通过IE浏览器在用户计算机上运行恶意的脚本,来检测用户的Web邮件帐户信息。

  根据GreyMagic的报告,这一漏洞存在于IE浏览器用于处理HTML扩展的HTML + TIME功能中。微软Hotmail和雅虎的邮件服务都要对发送进来的HTML格式的邮件信息进行过滤,以确定该邮件是否存在恶意代码。而Hotmail和雅虎邮件服务所使用的邮件过滤器都支持HTML + TIME功能,这就使得在邮件信息中加入恶意脚本成为可能。

  GreMagic称这一漏洞非常危险,因为入侵者可以利用它窃取目标用户的登录及口令信息,或者修改邮件帐户的内容。

  GreyMagic表示通过测试该公司已经发现雅虎和Hotmail的邮件服务存在此漏洞,这同时也意味着其它的邮件服务可能也存在此漏洞。此前,GreyMagic已经向微软报告了这一漏洞,微软随后在3月11日对其Hotmail邮件服务进行了安全升级。不过,GreMagic表示目前使用雅虎邮件服务以及其它基于Web的邮件服务的用户仍面临着这一漏洞的威胁。

  雅虎目前还没有就此发表评论

本文留言

近期读者推荐