חברת פינג'אן (Finjan Software) הישראלית הודיעה על איתור כשל אבטחה חמור בהוטמייל, שירות דואר הרשת של מיקרוסופט. כשל האבטחה, שזוהה על ידי מרכז המחקר לקוד זדוני בחברה, אפשר למשתמשים זדוניים ליצור וירוס מסוג תולעת שעלול היה לפגוע במשתמשי הדואר. דובר מיקרוסופט מסר כי החברה
תיקנה את הכשל תוך 24 שעות לאחר שקיבלה הודעה על כך מפינג'אן. משתמשי הוטמייל לא נפגעו כתוצאה מהכשל.
מדובר בכשל אבטחה חמור באחד ממסנני שירות הדואר האלקטרוני, החשוף לפגיעת רכיבי תוכנה מסוג ActiveX (פיסות קוד המאפשרות למתכנתים ליישם רכיבי ממשק מורכבים בדפי אינטרנט), מציין שלמה טובול, מייסד ומנכ"ל פינג'אן. הכשל היה עלול לאפשר התקפות הקרויות cross-site scripting במסגרתן התוקף טומן קוד זדוני בדף אינטרנט או בהודעת HTML בדואר האלקטרוני, ולאחר שהגולש מבקר בדף והקוד מופעל התוקף יכול להינות מגישה למידע אישי או לשלוט על מחשבו מרחוק.
הווירוס שנמנע היה מופעל אוטומטית עם פתיחת הודעת דואר אלקטרוני, קורא את ספר הכתובות של המשתמש, משכפל ושולח את עצמו לכל אנשי הקשר של המשתמש הפגוע.
וירוס כזה היה עלול להיות מופץ לתיבות דואר של משתמשים נוספים, לא רק באמצעות הוטמייל אלא גם באמצעות תוכנת הדואר אאוטלוק. נוסף על כך, טובול אומר, כי כשל האבטחה אפשר למשתמש מרוחק לשתול סוסים טרויאניים, למחוק את הדיסק הקשיח של המשתמש, ולגנוב את נתוני המשתמש בשירות המנויים Passport של מיקרוסופט, ובכלל זה מספרי כרטיסי אשראי.
"חברת פינג'אן ביקשה מאיתנו לשכפל את נקודת הכשל, כדי לוודא את ממצאיה", אמר דרו קופלי מחברת חקר האבטחה eEye Digital Security. "התגלית שלהם לגבי כשל האבטחה בהוטמייל מדויקת, ויש לה פוטנציאל לאפשר להאקרים לגנוב רשימות כתובות, לכתוב הודעות דואר בשמם של משתמשי הוטמייל ולשלוח קוד עוין. בעיית האבטחה הזו מסוכנת ביותר כי יש בה את כל הרכיבים לבניית תולעת אוטומטית המתפשטת באמצעות דואר אלקטרוני". טובול מציין, כי הפירצה אומתה בכמה מעבדות נוספות של חברות אבטחה.
