一名16岁的荷兰少年Adriaan Grass发现了微软的Live Services存在一跨站点脚本的bug。黑客可以利用它来窃取如Hotmail用户的登陆cookie。受害人被要求点击一个特别的链接,通过这个链接打开了能够执行利用代码的MSN页面。跟着,来自live.com域的cookie就可以通过请求而写入到黑客的域当中。这个bug已经被荷兰技术新闻网站Tweakers.net证实。
Adriaan已经把这件事告知微软,并不久后在其网站上公布了细节。
Adriaan表示,在他提交报告给微软5天后才得到反馈,他认为微软的回应有点迟缓。所以把这件事公诸于众,以公众的压力促使微软尽快采取补救措施。
微软荷兰分部表示,在荷兰多个网站公开这bug后微软已经采取行动研究这件事。一位发言人表示,微软安全响应中心已经开始行动,但由于正处美国独立日,所以结果可能会有所推迟。 |