一家加拿大计算机安全公司撤消了微软Hotmail电邮服务存在安全漏洞的说法,该公司表示他们日前宣布的问题在几周前已得到解决。
微软在周五时表示安全公司Neurocom已违反了标准的BUG报道协议,在没有通知微软安全组之前公开了安全漏洞。
Neurocom加拿大部门的官员Simonnet解释说:“我们的目的不是打击微软,而是发现安全漏洞。”
Neurocom针对和特洛伊木马有关的安全漏洞发出了警告。黑客可能利用以HTML编写的特洛伊木马来建立Hotmail重新注册页面的完美复制品。该公司还表示其他提供Web型电子邮件的站点也可能易受类似的攻击。
微软安全反应中心的项目经理Culp指出他不知道为什么Neurocom在发布消息前不先通知微软一声。“安全产业有这样的规则,在发现影响厂商产品的漏洞后要通知该厂商。”
Neurocom表示过滤器已经被集成现在了具有潜在危险性的码令的使用。如微软在98年就使用过滤器填补了JavaScript的安全漏洞。
使用JavaScript在HTML信息中传送的特洛伊木马可欺骗电子邮件用户,并要求他们提供用户名和密码。SecurityFocus的Levy表示:黑客可能利用特洛伊木马来建立一个象注册页面的视窗,欺骗电子邮件用户输入用户名和密码。
微软和其他使用Web电邮系统的公司一般是过滤已知的植入恶意JavaScript码令,Levy认为最好的办法是仅允许无威胁内容。这样的话即便有加密JavaScript的新方法被使用,仍可得到有效保护。
