23 lipca 2005 na stronach pocztowych portali Onet.pl, WP.pl, Interia.pl, o2.pl i Gazeta.pl została wykryta luka bezpieczeństwa wynikająca z nieodfiltrowywania tagu APPLET przy wyświetlaniu listów w formacie HTML. Obecność luki pozwalała (lub nadal pozwala – zob. niżej Reakcja portali) na automatyczne uruchamianie apletów Java u użytkowników, którzy otworzą email w formacie HTML.
Aplety Java to proste programy, które można umieszczać w stronach HTML, bardzo często stosowane do czatów, gier online itp. Uruchamiane automatycznie przy próbie wyświetlenia wiadomości email mogą być wykorzystywane do co najmniej dwóch niecnych celów:
Aplet Java może automatycznie przekierować użytkownika z poczty portalu na dowolną inną stronę lub wyświetlić interaktywne okno dialogowe w celu pozyskania danych osobowych, aktualnego hasła (np. prosząc o jego ponownego podania celem weryfikacji czegoś) itp. Więcej o "phishingu"
Aplety Java mają także możliwość uruchamiania kodu Javascript, przez który z kolei można skasować pocztę użytkownika, przesłać ją do innych osób, czy też odczytać aktualne pliki cookies użytkownika i przekazać je na zewnątrz w celu przejęcia sesji użytkownika (tzw. atak typu Cross Site Scripting).
Informacja o występowaniu luki, jej dokładny opis oraz prośba o potwierdzenie przyjęcia zgłoszenia problemu zostały przesłane do wszystkich wymienionych portali dzień po jej wykryciu, tj. 24 lipca 2005.
Portale WP.pl, Interia.pl, o2.pl oraz Gazeta.pl (wszystkie poza Onet.pl) przesłały odpowiedź potwierdzającą istnienie problemu, a w kolejnych dniach wprowadziły odpowiednie poprawki do swoich systemów pocztowych.
Informacja o luce przesłana do portalu Onet.pl spotkała się z krótką odpowiedzią działu Republika WWW (chociaż zgłoszenie było kierowane na adresy portalu i postmastera, tj. onet@onet.pl, bok@onet.pl oraz postmaster@onet.pl), w której można znaleźć, że to nie ten dział administruje pocztą oraz zapewnienie, że zgłoszenie zostało przesłane do działu poczty.
Dział poczty Onet.pl nie przesłał jednak żadnej odpowiedzi potwierdzającej przyjęcie zgłoszenia, a po dwóch tygodniach od jego wysłania luka była nadal obecna. 8 sierpnia zgłoszenie zostało wysłane po raz drugi, tym razem poprzez formularz na stronie kontakt.onet.pl (według polecenia działu Republika WWW).
Do dnia dzisiejszego, tj. 15 sierpnia (tydzień od drugiego zgłoszenia), nie przyszła żadna odpowiedź z działu poczty Onet.pl, która potwierdzałaby jego przyjęcie, a luka nadal występuje.
AKTUALIZACJA (2005-08-16): Onet.pl wprowadził odpowiednią poprawkę.
Opisana luka była też sprawdzana na zagranicznych systemach pocztowych (Hotmail, Yahoo! Mail oraz Gmail), gdzie nie wykryto jej obecności.
Luka nie zależy od używanej przeglądarki stron.
Możliwość uruchamiania kodu Javascript przez aplet Javy nie występowała na poczcie WP (z niejasnych powodów); można było jedynie uruchamiać kod apletów Java.
Opisana luka może występować w innych portalach i serwisach udostępniających pocztę przez strony WWW. Poniżej znajduje się możliwość przesłania sobie emaila do sprawdzania jej obecności (ewentualne wykrycie należy zgłaszać do odpowiedniego dostawcy poczty).
Test1: email uruchamia aplet Javy, który przekierowuje stronę poczty na inną
Test2: email uruchamia aplet Javy, który wykonuje kod Javascript przesyłający cookies użytkownika poczty na inny serwer
(Podawane adresy są wykorzystywane tylko do przesłania jednokrotnego emaila testowego; nie są nikomu udostępniane ani przechowywane.)
Marek Futrega
2005-08-15, ost. aktualizacja: 2005-08-16