Hos posttjenesten Microsoft Hotmail bliver alle former for Javascript-kode filtreret ud af e-mails, inden de bliver vist på skærmen. Det er også nødvendigt - med få linier Javascript i et HTML-baseret e-mail kan man åbne en dialogboks og f.eks. snyde brugeren til at indtaste sin adgangskode.
Hollandske Bart van Arnhem, der kalder sig "Oblivion", har nu fundet et trick, der snyder Microsofts filter og gør det muligt at smugle Javascript-kode gennem beskyttelsen og ud til modtageren.
Hans trick bygger på en sårbarhed i forbindelse med image-tags, som blev opdaget af bulgarske Georgi Guninski i januar 2000 og sidenhen rettet. Arnhem går et skridt videre og laver to Javascripts, hvoraf det ene gemmes i en style-attribut. Microsofts filter fjerner kun det første script, mens det andet slipper igennem.
I sidste måned opdagede Arnhem at Javascript-kode kunne gemmes i e-mailens From-felt. Dette sikkerhedshul er sidenhen blevet lukket, siger han. Microsoft vil indtil videre ikke kommentere den nye sårbarhed. En detaljeret beskrivelse findes på nedenstående adresse.
(Kilde: NewsBytes)
