Actualité libre de droit
- 2269 clics -

Une faille pour Internet Explorer de plus (on en est à combien ?) avec les comptes Hotmail et Yahoo

Bof, une de plus ou une de moins ça ne changera pas grand chose ! Cette faille découverte par une firme de sécurité israélienne permettrait à une personne de mal intentionné de passer outre la confidentialité des comptes et pendant le chargement de Hotmail ou Yahoo, récupérer les mots de passes et d'accéder aux différents comptes.

La faille exploite le module "HTML+TIME". Après la découverte, GreyMagic a avertit Microsoft le 11 mars dernier et celui-ci a corrigé les serveurs en 48H. Ainsi les utilisateurs de Hotmail sont hors de danger mais quand est il pour Yahoo ? Personne ne sait si la situation a évolué !

Voici la description fournit par GreyMagic (en Anglais)


GreyMagic Security Advisory GM#005-MC

- By GreyMagic Software, Israel.

- 23 Mar 2004. Topic: Remotely Exploitable Cross-Site Scripting in Hotmail and Yahoo.

Discovery date: 06 Mar 2004.

Affected applications: Hotmail web-based email service (when used with IE).

Yahoo web-based email service (when used with IE).

Note that many other web-based services may be vulnerable to this method of exploitation, as it is a completely new way to embed script.

Introduction: Both Hotmail and Yahoo make tremendous efforts to sanitize incoming emails from potentially unsafe HTML content. Flawed filtering of such unsafe content may result in severe consequences that would occur as soon as a user opens an email for reading, including:

-* Theft of login and password.
-* Content disclosure of any email in the mailbox.
-* Automatically send emails from the mailbox.
-* Exploitation of known vulnerabilities in the browser to access the user's file system and eventually take over the machine.
-* Distribution of a web-based email worm.
-* Disclosure of all contacts within the address book.

Discussion: GreyMagic devised a method to inject such arbitrary (potentially malicious) content to a Yahoo or Hotmail email message. The method is not limited to Hotmail and Yahoo alone though, it may apply to other web-based services that attempt to filter HTML input.

The vulnerability makes use of an Internet Explorer technology called HTML+TIME (based on SMIL), which is meant to add timing and media synchronization support to HTML pages.

One of the features included in HTML+TIME is the ability to manipulate any attribute on an element via special control elements. For example, the element exposes the attributes "attributeName" and "to", which make it possible to inject ANY HTML content to the document when "attributeName" is set to "innerHTML" and "to" is set to any HTML the attacker would like to execute, including script.

Exploit: For the HTML+TIME module to be activated, the document must fulfill two requirements. It must declare the designated namespace and it must bind the namespace to the HTML+TIME behavior implementation.

In order to fulfill the first requirement it is usually necessary to be able to access the element, with the syntax . However, Hotmail completely filters out that element, so another method of namespace declaration is needed. It so happens that Internet Explorer provides one other mechanism to declare a namespace, via the non-standard processing instruction, which may be used anywhere in the document and does not get filtered.
The second requirement usually involves the use of the CSS "behavior" property, with the syntax "behavior:url(#default#time)". However, Hotmail blocks all instances of "url(...)" in the incoming mail, so another way to bind the behavior must be used. It comes in the form of the
< ?import namespace="t" implementation="#default#time2">
Optional text here...
< div >

< /div >

Demonstation: We put together a proof of concept demonstration for this method of script execution.

Solution: GreyMagic started work on this issue with Microsoft on 11-Mar-2004. They have quickly confirmed our findings and were able to produce a fix less than two days later. As a result, Hotmail is no longer vulnerable to this method of exploitation.
All attempts to contact Yahoo unfortunately failed. Mail was sent to security and secure at yahoo.com and at yahoo-inc.com, no replies were received to date.
Tested on: Hotmail.
Yahoo.

Disclaimer: The information in this advisory and any of its demonstrations is provided "as is" without warranty of any kind.

GreyMagic Software is not liable for any direct or indirect damages caused as a result of using the information or demonstrations provided in any part of this advisory.


démonstration : [http://www.greymagic.com/security/advisories/gm005-mc/inject.asp-> http://www.greymagic.com/security/advisories/gm005-mc/inject.asp]

Laissez votre commentaire à propos de cet article

Securité / Hacking

  1. 29 Sept. 2015Internet & loi, quels dispositions sont à prendre en compte pour un éditeur de site ?3302 clics
  2. 15 Fév. 2007Défi aux pirates ! Craquez un programme informatique protégé et gagnez 32.768 euros3044 clics
  3. 15 Sept. 2006La nouvelle version d'ALTOSPAM est disponible2889 clics
  4. 26 Fév. 2006Traçabilité et anti-copie des produits de grande diffusion2245 clics
  5. 25 Fév. 2006AltaRiver Spam Blocker est un nouveau logiciel pour protéger les adresses email sur les sites web, contre les robots de spam.3559 clics
  6. 14 Fév. 2006Traçabilité et anti-copie des produits de grande diffusion2816 clics
  7. 9 Fév. 2006Service antispam en marque blanche destiné aux revendeurs2487 clics
  8. 27 Janv. 2006DOTEM : un système de marquage haute densité pour tracer les produits2571 clics
  9. 7 Oct. 2004Nouvelle offre de filtrage Antivirus et Antispam Protecmail.2652 clics
  10. 25 Sept. 2004Testez gratuitement la solution anti spam Altospam2271 clics
  11. 17 Sept. 2004Concernant les Hoax2713 clics
  12. 9 Sept. 2004VirusKeeper 2005: la détection intelligente des virus et logiciels espions2461 clics
  13. 30 Août 2004Yapuka : Retirer le mot de passe Bios3536 clics
  14. 30 Août 2004Le SPAM téléphonique ! Une arnaque qui pourrait vous coûter cher.2663 clics
  15. 30 Août 2004Faille dans Word 2000 / XP, un mot de passe contre les modifications inutile !2184 clics
  16. 25 Août 2004Hoax : Mme MARIAM KONE2617 clics
  17. 25 Août 2004Hoax : M. Salif Sinare2249 clics
  18. 14 Août 2004Pfizer poursuit en justice des pharmacies en ligne illégitimes pour contrer l'épidémie de spam2304 clics
  19. 14 Août 2004Le nouveau ver MyDoom-Q utilise le moteur de recherche de Yahoo pour trouver de nouvelles adresses cibles2036 clics
  20. 9 Août 200430 failles en attente de corrections pour Oracle depuis janvier dernier !2162 clics
  21. 4 Août 2004Singapore ouvre le Hacking Contest Seras-tu capable de rivaliser avec les meilleurs2311 clics
  22. 4 Août 2004MyDoom.Q utilise Yahoo Search pour se trouver des amis Tu veux être mon ami ?1871 clics
  23. 4 Août 2004Juin, Juillet et Decembre : Les mois préférés des virus ?2072 clics
  24. 3 Août 2004MyDoom.O lance de nouveau une DDoS contre Microsoft.com Mais ce n'est pas tout...1933 clics
  25. 31 Juil. 2004Internet Security Systems ouvre une agence à Lyon2041 clics
  26. 15 Juil. 2004Une faille sur Mozilla corrigée en moins de 24H1868 clics
  27. 10 Juil. 2004Altospam, une solution française performante de prévention et de lutte antispam2027 clics
  28. 10 Juil. 2004Hoax : M.Michel KOUASSI2436 clics
  29. 10 Juil. 2004Hoax : Steven Johnson, Jr.2178 clics
  30. 4 Juil. 2004MSIE : Il est temps de dire STOP ! Vous croyez être à l'abris ?2313 clics