7月16日,江民反病毒专家监测到,Hotmail在处理HTML注释语句时的一个最新漏洞被发现。黑客可以通过向用户发送一封特殊制作的HTML电子邮件进行跨网站脚本执行攻击。利用该漏洞,黑客有可能获取用户浏览器页面的Cookie和新近提交的各种信息。
据分析,Hotmail在处理HTML邮件时,认为所有注释语句都是安全的,因此没有对它们进行任何检查和过滤。但实际上,HTML注释中的IF条件语句,是可以被浏览器解释执行的。通过在IF语句中加入脚本程序的办法,就可以使用户在浏览HTML信件时自动执行该脚本。
实验表明,该漏洞会影响那些使用IE5及其以上版本的IE浏览器查阅Hotmail的用户。目前尚无针对该漏洞的解决方案。
