• IT-Karriere:
  • Services:

Sicherheitslücke im MSN-Messenger: Name und E-Mail offen

Auch fremde Websites könnten Kontaktliste und E-Mail-Adressen abrufen

Der MSN Messenger und der Windows Messenger unter XP haben nach Ansicht des Sicherheitsexperten Richard Burton eine gravierende Sicherheitslücke, mit der es möglich ist, über eine Website persönliche Informationen über die User abzurufen.

Artikel veröffentlicht am ,

Mittels Java- oder VBscript soll es möglich sein, den Usernamen sowie alle Kontakte inklusive E-Mail-Adressen des betroffenen Users abzurufen. Unter bestimmten Umständen soll anstelle des Usernamen auch die E-Mail-Adresse des Anwenders abrufbar sein.

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim
  2. ElringKlinger AG, Reutlingen

Microsoft selbst könne über seine eigenen Websites wie microsoft.com, hotmail.msn.com oder hotmail.com diese Möglichkeit nutzen, alle Besucher, die gleichzeitig die betroffenen Instant-Messenger nutzen, zu beobachten und zu verfolgen.

Außer der Microsoft-eigenen Domains könnten durch eine einfache Registry-Änderung auch andere Websites die entsprechenden Daten abrufen. Die Änderung in der Registrierungsdatei könne beispielsweise durch Spyware oder Adware gemacht werden, damit deren Dienstebetreiber ebenfalls die Anwender überwachen können, mutmaßen die Entdecker der Sicherheitslücke. Der Registry-Eintrag liegt unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ MessengerService\Policies\Suffixes". Dort befinden sich normalerweise keine Einträge, können aber hinzugefügt werden. Mit dem Wert Suffix0 = "test.com" könnte man Websites innerhalb von test.com Zugriff auf die Messenger-Informationen verschaffen. Natürlich wäre eine generelle ".com"-Freigabe ebenso möglich. Obwohl sich unter dem Schlüssel standardmäßig keine Einträge finden, seien in den Messenger-Programmen drei Microsoft-Domains hardgecoded eingebaut, die man auch nicht entfernen könne, so die mutmaßlichen Entdecker der Sicherheitslücke.

Die einzige Chance, dem möglichen Zugriff zu entgehen, liegt demzufolge im Abschalten des Messengers vor dem Besuch der Microsoft-Websites.

Auf der Website raburton.members.easyspace.com/msn/ ist eine Demonstration der Sicherheitslücke hinterlegt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Ticker
  1. Google TV

    Google macht den Smart-TV bei Bedarf dumm

  2. Chipmangel

    Tesla legt Model 3-Produktionslinie für zwei Wochen still

  3. Intergrade

    Square Enix macht Final Fantasy 7 Remake noch länger

  4. Boston Dynamics Spot

    Roboter-Polizeihund Digidog in Problembezirk eingesetzt

  5. MacOS Big Sur 11.2.2

    Wenn der USB-C-Hub den Mac beschädigt

Meistgelesen
  1. Geforce RTX 3060 (12GB) im Test
    Der Preisleistungskracher - eigentlich
  2. AVM
    FritzOS 7.25 für Fritzboxen ist da
  3. Smart Home
    Ikea bringt flexible LED-Lichtleiste für 20 Euro
  4. Zoom Fatigue
    Warum Videokonferenzen uns so anstrengen
  5. Mac Mini mit M1-CPU
    Apple baut das fast perfekte ARM-Entwicklungsmonster
Anzeige
Spiele-Angebote
  1. (u. a. Code Vein - Deluxe Edition für 23,99€, Railway Empire - Complete Collection für 23...
  2. 28,99€
  3. 21,99€
  4. 18,99€
Kommentarübersicht
Re: MSN-Messenger-Sicherheitslücke: Name und E...
Shai Rainbow 06. Feb 2002

Gut, dass es auch ohne den MSN Messenger geht, z.B. mit Trilian :-))

Re: MSN-Messenger-Sicherheitslücke: Name und E...
? 06. Feb 2002

man kann auch als msnsecure.reg die datei verwenden, die man unter raburton.members...

Re: MSN-Messenger-Sicherheitslücke: Name und E...
? 06. Feb 2002

also, bei mir scheints nicht zu klappen. klar, wenn man was installiert, was von innen...

Folgen Sie uns
       
Radeon RX 6800 (XT) im Test mit Benchmarks

Lange hatte AMD bei Highend-Grafikkarten nichts zu melden, mit den Radeon RX 6800 (XT) kehrt die Gaming-Konkurrenz zurück.

Radeon RX 6800 (XT) im Test mit Benchmarks Video aufrufen
Bill Gates
Bill Gates: Mit Technik gegen die Klimakatastrophe
Bill Gates
Mit Technik gegen die Klimakatastrophe

Bill Gates' Buch über die Bekämpfung des Klimawandels hat Schwächen, es lohnt sich aber trotzdem, dem Microsoft-Gründer zuzuhören.
Eine Rezension von Hanno Böck

  1. Microsoft-Gründer Bill Gates startet Podcast
Onlinedurchsuchung
Verschlüsselung: Auch das BKA nutzt Staatstrojaner nur ganz selten
Verschlüsselung
Auch das BKA nutzt Staatstrojaner nur ganz selten

Die neue Zitis-Behörde soll bei Staatstrojanern eine wichtige Rolle spielen. Quantennetzwerke zum eigenen Schutz lehnt die Regierung ab.
Ein Bericht von Friedhelm Greis

  1. Staatstrojaner-Statistik Aus 368 werden 3
  2. Untersuchungsbericht Mehrere Fehler führten zu falscher Staatstrojaner-Statistik
  3. Staatstrojaner Ermittler hacken jährlich Hunderte Endgeräte
Disney+
Star auf Disney+: Erstmal sollten Fehler korrigiert werden
Star auf Disney+
Erstmal sollten Fehler korrigiert werden

Statt zunächst Fehler zu beheben, bringt Disney+ lieber neue Inhalte - und damit auch neue Fehler.
Ein IMHO von Ingo Pakalski

  1. Neue Profile von Disney+ im Hands-on Gelungener PIN-Schutz und alte Fehler
  2. Netflix-Konkurrenz Disney+ noch zum günstigeren Abopreis zu bekommen
  3. Raya und der letzte Drache Zweiter VIP-Film kostet bei Disney+ 22 Euro zusätzlich
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /