New York - Erneut ist beim kostenlosen Maildienst
Hotmail http://www.hotmail.com eine Sicherheitslücke entdeckt worden. Sie
besteht darin, dass ein JavaScript-Applet als Login-Dialogbox erscheint,
sobald die Webseite geladen wird. Lässt sich der Anwender davon irreführen,
indem er Benutzernamen und Passwort für seinen Mail-Account eingibt, können
diese Daten Unbefugten den Zugang zu seinem Mail-Account verschaffen.
Microsoft gab nun einen Patch heraus, mit dem das Risiko behoben werden
soll.
Normalerweise können JavaScript-Applets unter Hotmail nicht ausgeführt
werden, da sie eine potenzielles Sicherheitsrisiko darstellen, so ein
Microsoft-Ingenieur. Durch den neusten Bug wurden die Versuche Hotmails, die
JavaScript-Applets zu deaktivieren, jedoch umgangen. Dem bulgarischen
Programmierer Georgi Guninski zufolge, der den JavaScript-Bug entdeckt hat,
war es dadurch auch möglich, die Post des Opfers zu lesen oder Mails mit
seinem Absender zu verschicken. "Hotmail versucht zwar, alle JavaScripts
auszuschalten, aber offensichtlich gibt es Löcher", so Guninski.
Hotmail hat außerdem Schwierigkeiten mit dem Datum von abgelegten Mails.
Stammen die elektronischen Nachrichten von Oktober 1999 oder davor,
erscheinen sie bei einigen Mail-Servern mit der Jahreszahl 2099. Bisher ist
der Fehler nach Angaben von Microsoft nur bei wenigen Benutzern des
kostenlosen Mail-Dienstes aufgetaucht. Auch müssten neben dem Datum weitere
Kriterien erfüllt sein, damit der Fehler auftritt. Welche Kriterien das
sind, teilte Microsoft allerdings nicht mit.
In den vergangenen Wochen gab es immer wieder Sicherheitslücken bei Hotmail,
der schwerste Vorfall ereignete sich Ende August, als der Dienst gehackt
wurde und sämtliche Accounts stundenlang frei zugänglich waren. (vgl.
pte-Meldung http://www.pressetext.at/show.pl.cgi?pta=990831015 )
