Hotmail又发现安全漏洞

以下这个功能是全球用户不需要的：敲开微软那免费的、Web架构的电子邮件系统Hotmail的另一个方法。但是，这的确是发现程式漏洞的保加利亚人Georgi Guninski指陈历历的事实。因为发现浏览器安全漏洞而名噪一时的Guninski，发现Hotmail可以让内嵌Web页面的Javascript程式码自动执行。

这使得任何人只要撰写Web程式就可以为所欲为，从盗取密码到读取他人邮件等都变得可能。虽然，长久以来大家都知道，目前不论是以ActiveX或Java所写成的Web小程式都有可能偷偷从内部打开系统，但是，这是首度有人指出Hotmail这麽容易遭受入侵。

不只理论上可行

这个发现到底纯粹是理论上可能发生的漏洞，或者可以被骇客利用来入侵使用者资料？不幸的，答案是後者。至少，以JavaScript所写的正确程式可以读取用户的收件匣。微软并未指出这个最新发现的问题是谁的责任。微软的一位发言人表示：「这不是Hotmail的安全问题，我们认为它是人们鼓励用户在Web上执行非法程式码的一个实例。」

这位发言人补充道：「为了保护自己，用户可以将JavaScript关掉，只要在使用Hotmail之前将它关掉，或者当你认为不名人士寄给你的信当中可能含有JavaScript时，不要打开那封信。微软目前正为Hotmail的用户寻求解决之道，以更周密的保全能力对抗电子邮件中JavaScript不当使用所带来的威胁。」


--------------------------------------------------------------------------------

Copyright ? 1998 - 1999 INFOPRO GROUP. All rights reserved.