Microsoft’un Live servislerinde XSS açığı bulunmuş.Olay şu şekilde gerçekleşiyor. Hotmaile giriş yaptığımız vakit oluşan cookie ip bilgisi içermiyormuş. bu cookie kullanılarak daha sonra hesaba girmek mümkün olabiliyormuş.Başka bi habere göre bunu bulan 16 yaşında hollandalı bir çocukmuş ve durumu microsofta bildirmiş ama pek ciddiye alınmamış. Ama kendisine bir cevap yazmışlar.
“Hi Adriaan, Thanks very much for your report. I have opened case 6678 and the case manager, Scott, will be in touch when there is more information. In the meantime, we ask you respect responsible disclosure guidelines and not report this publicly until users have an opportunity to protect themselves (as you have mentioned). You can review our bulletin acknowledgment policy atwww.microsoft.com/technet/security/ bulletin/policy.mspx and our general policies and practices atwww.microsoft.com/technet/security/ bulletin/info/msrpracs.mspx. If at any time you have questions or more information, please respond to this message.”
