北京时间5月25日消息,微软网站被披露存在一个可能致使黑客可以阅读和窃取Hotmail用户电子邮件的漏洞。
据悉,最早发现这一漏洞的是信息安全厂商趋势科技,他们声称在今年5月12日,发现了一封给台湾Hotmail用户的欺诈邮件,邮件内容为虚假的警告。
在邮件中,用户可能会被“警告”其Facebook账户从异地登录,而这一切只是个“幌子”,实际上在用户浏览邮件的同时,邮件中包含的木马可以实现黑客的攻击行为;而被黑客利用的就是微软网站上存在的一个网页编程错误,被称为“跨站点脚本漏洞”。
“跨站点脚本漏洞”常常被称为“XSS漏洞”,在Web站点未经适当过滤便显示在HTML页面上时会出现这种漏洞,它会允许(由用户输入的)任意HTML显示在用户的浏览器中。
据安全专家表示,这个脚本漏洞可以向Hotmail服务器发出请求,将被侵入用户的电子邮件信息转发到一个特定的邮件地址。
跨站点脚本漏洞在网页上很常见,但却很少应用于Hotmail这样应用广泛的网站攻击。
目前,微软已将这一漏洞修复。
