趨勢科技：Hotmail漏洞讓駭客可存取用戶資訊

防毒軟體業者趨勢科技本周表示，Hotmail出現一安全漏洞讓駭客可遠端存取使用者的郵件及聯絡人資訊。當使用者開啟一個特製的郵件訊息時，就會自動執行一個嵌入式的腳本程式，並自遠端下載可用來竊取使用者的郵件資訊及聯絡人名單的另一程式。微軟在接獲趨勢的通知後，已修補該Hotmail漏洞。

趨勢科技發現此事是因為一名台灣同事收到該惡意郵件，以「你曾在其他新地點登入過Facebook？」郵件主旨偽裝是來自Facebook安全團隊，信件內容質疑他人以使用者的帳號在其他地方登入，並暫時關閉使用者帳號的通知信函。只要開啟該郵件就會自遠端網址下載另一用來竊取郵件資訊的腳本程式。

趨勢科技表示，該攻擊是利用Hotmail中的腳本或CSS過濾機制的臭蟲，分析夾帶在郵件中的程式發現，一旦Hotmail中的過濾機制開始運作，反而會協助該腳本程式在瀏覽器的CSS引擎中運作，讓駭客把腳本程式轉成可在目前Hotmail登入階段執行任何命令的攻擊程式。

在此一案例中，駭客是將Hotmail用戶的所有郵件轉寄到特定的郵件信箱中，不過，用戶只要登出Hotmail就會停止該腳本程式的行為。

趨勢科技指出，這應該是目標式攻擊，分析顯示郵件中的嵌入式程式所連結的網址含有兩個變數，一個是使用者的Hotmail帳號，另一個是駭客預先設定以用來確定是否下載竊取程式的號碼。（編譯/陳曉莉）