绿盟安全月刊->第22期->业界动态 安全专家称Hotmail和雅虎邮件存在安全漏洞

日期：2001-06-15

ZDNet China

　　近日，一位网络安全专家在本周称，hotmail和yahoo mail存在安全漏洞，尽管不是毁灭性的，但可能被用来制作一种蠕虫病毒，阻碍互联网络邮件传输服务器。

　　发现这一漏洞的是一个叫Matt Parcens的独立软件专家，他说，这一弱点可使黑客制造一封含有超文本链接程序的电子邮件，如果使用这种有缺陷的电子邮件服务程序的用户打开了这份电子邮件，超文本程序将会开始运行，这将使操纵私人收件箱和发送电子邮件成为
可能。

　　Matt Parcens在一封给CNETNEWS.COM的电子邮件称，这个网络蠕虫程序在短期内危害极大，但从长远来说，其危害并不大，因为这一网络蠕虫程序的运行的先决条件是一个漏洞必须存在于提供邮件服务的同一服务器上，这就大大限制了可能出现的漏洞数量。如果这一程序设计恰当，那么超文本链接程序将会自行进入受害者的信箱，其结果将导致信件有如洪水般涌入。

　　6月1日，微软承认其网络邮件发送服务程序存在安全漏洞，但这一漏洞已在周五下午被弥补。微软安全中心的经理Steve Lipner说，我们这个漏洞已交由hotmail处理，他们已在下午将其弥补。Yahoo mail在太平洋夏令时间下午五点三十分时还没有将这个漏洞弥补好，但是公司的一位代表称，截止当天，漏洞已被弥补。5月31日，关于这一程序弱点的详细情况已被公布于安全信息表。Linper说，“Parcens声称，他已在5月23日和微软和雅虎接触过，但微软直到看到报告才知道这一漏洞的存在”。Parcens说他已将这个信息发送至hotmail的几个网址。但并没有通过正常的渠道发送到security@microsoft.com。他说“我已通过我在hotmail的网站上可以找到的最佳途径通知了该公司。”

　　尽管两大公司已弥补了这个漏洞，但只要这一程序漏洞可以阻碍服务器，那么危险还将可能出现在6月2日早晨。事实上如果一个简单的处理就可以防止危险的发生，那么这个特殊的安全漏洞在短期内仍将存在。典型的，当这个弱点存在于一个应用软件中时，微软不得不发出补丁程序，期望用户下载安装。

　　Lipner说，我们不喜欢这些事情的发生，但对于hotmail的服务器方面来说，最好的办法也只能是发现一个漏洞弥补一个漏洞。