Une extension Firefox permettait de réinitialiser le mot de passe de n’importe quelle adresse Windows Live. Microsoft a annoncé avoir comblé cette faille dans un tweet laconique. Découverte par Benjamin Kunz, de Vulnerability Laboratory, et un hacker saoudien de Dev-point.com, l’extension Firefox permettait de faire sauter les étapes de vérifications avant la réinitialisation du mot de passe.
La vulnérabilité autorise un attaquant à réinitialiser le mot de passe Hotmail avec les valeurs de son choix. Des attaquants distants peuvent en effet éviter le processus de récupération pour redéfinir un nouveau mot de mot de passe
Explique Kunz après sa découverte. Pour changer le mot de passe de n’importe quelle adresse Live, il suffisait d’utiliser Tamper Data, une extension de Firefox qui analyse les requêtes HTTP et permet de les modifier. Microsoft assure qu’il a corrigé la faille, mais ne donne pas plus d’informations. Redmond n’indique pas non plus le nombre de personnes victimes de cette faille.
Source