Sicherheitslücke im MSN-Messenger: Name und E-Mail offen
Auch fremde Websites könnten Kontaktliste und E-Mail-Adressen abrufen
Der MSN Messenger und der Windows Messenger unter XP haben nach Ansicht des Sicherheitsexperten Richard Burton eine gravierende Sicherheitslücke, mit der es möglich ist, über eine Website persönliche Informationen über die User abzurufen.
Mittels Java- oder VBscript soll es möglich sein, den Usernamen sowie alle Kontakte inklusive E-Mail-Adressen des betroffenen Users abzurufen. Unter bestimmten Umständen soll anstelle des Usernamen auch die E-Mail-Adresse des Anwenders abrufbar sein.
Microsoft selbst könne über seine eigenen Websites wie microsoft.com, hotmail.msn.com oder hotmail.com diese Möglichkeit nutzen, alle Besucher, die gleichzeitig die betroffenen Instant-Messenger nutzen, zu beobachten und zu verfolgen.
Außer der Microsoft-eigenen Domains könnten durch eine einfache Registry-Änderung auch andere Websites die entsprechenden Daten abrufen. Die Änderung in der Registrierungsdatei könne beispielsweise durch Spyware oder Adware gemacht werden, damit deren Dienstebetreiber ebenfalls die Anwender überwachen können, mutmaßen die Entdecker der Sicherheitslücke. Der Registry-Eintrag liegt unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ MessengerService\Policies\Suffixes". Dort befinden sich normalerweise keine Einträge, können aber hinzugefügt werden. Mit dem Wert Suffix0 = "test.com" könnte man Websites innerhalb von test.com Zugriff auf die Messenger-Informationen verschaffen. Natürlich wäre eine generelle ".com"-Freigabe ebenso möglich. Obwohl sich unter dem Schlüssel standardmäßig keine Einträge finden, seien in den Messenger-Programmen drei Microsoft-Domains hardgecoded eingebaut, die man auch nicht entfernen könne, so die mutmaßlichen Entdecker der Sicherheitslücke.
Die einzige Chance, dem möglichen Zugriff zu entgehen, liegt demzufolge im Abschalten des Messengers vor dem Besuch der Microsoft-Websites.
Auf der Website raburton.members.easyspace.com/msn/ ist eine Demonstration der Sicherheitslücke hinterlegt.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Gut, dass es auch ohne den MSN Messenger geht, z.B. mit Trilian :-))
man kann auch als msnsecure.reg die datei verwenden, die man unter raburton.members...
also, bei mir scheints nicht zu klappen. klar, wenn man was installiert, was von innen...