Abo
  • Services:
Anzeige

Sicherheitslücke im MSN-Messenger: Name und E-Mail offen

Auch fremde Websites könnten Kontaktliste und E-Mail-Adressen abrufen

Der MSN Messenger und der Windows Messenger unter XP haben nach Ansicht des Sicherheitsexperten Richard Burton eine gravierende Sicherheitslücke, mit der es möglich ist, über eine Website persönliche Informationen über die User abzurufen.

Anzeige

Mittels Java- oder VBscript soll es möglich sein, den Usernamen sowie alle Kontakte inklusive E-Mail-Adressen des betroffenen Users abzurufen. Unter bestimmten Umständen soll anstelle des Usernamen auch die E-Mail-Adresse des Anwenders abrufbar sein.

Microsoft selbst könne über seine eigenen Websites wie microsoft.com, hotmail.msn.com oder hotmail.com diese Möglichkeit nutzen, alle Besucher, die gleichzeitig die betroffenen Instant-Messenger nutzen, zu beobachten und zu verfolgen.

Außer der Microsoft-eigenen Domains könnten durch eine einfache Registry-Änderung auch andere Websites die entsprechenden Daten abrufen. Die Änderung in der Registrierungsdatei könne beispielsweise durch Spyware oder Adware gemacht werden, damit deren Dienstebetreiber ebenfalls die Anwender überwachen können, mutmaßen die Entdecker der Sicherheitslücke. Der Registry-Eintrag liegt unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ MessengerService\Policies\Suffixes". Dort befinden sich normalerweise keine Einträge, können aber hinzugefügt werden. Mit dem Wert Suffix0 = "test.com" könnte man Websites innerhalb von test.com Zugriff auf die Messenger-Informationen verschaffen. Natürlich wäre eine generelle ".com"-Freigabe ebenso möglich. Obwohl sich unter dem Schlüssel standardmäßig keine Einträge finden, seien in den Messenger-Programmen drei Microsoft-Domains hardgecoded eingebaut, die man auch nicht entfernen könne, so die mutmaßlichen Entdecker der Sicherheitslücke.

Die einzige Chance, dem möglichen Zugriff zu entgehen, liegt demzufolge im Abschalten des Messengers vor dem Besuch der Microsoft-Websites.

Auf der Website raburton.members.easyspace.com/msn/ ist eine Demonstration der Sicherheitslücke hinterlegt.


eye home zur Startseite
Shai Rainbow 06. Feb 2002

Gut, dass es auch ohne den MSN Messenger geht, z.B. mit Trilian :-))

? 06. Feb 2002

man kann auch als msnsecure.reg die datei verwenden, die man unter raburton.members...

? 06. Feb 2002

also, bei mir scheints nicht zu klappen. klar, wenn man was installiert, was von innen...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. Pluradent AG & Co. KG, Offenbach
  3. Berliner Stadtreinigungsbetriebe (BSR), Berlin
  4. Uvex Winter Holding GmbH & Co. KG, Fürth/Bayern


Anzeige
Hardware-Angebote
  1. 59,90€
  2. 1.499,00€

Folgen Sie uns
       

  1. Blizzard

    Update und Turnier für Warcraft 3 angekündigt

  2. EU-Urheberrechtsreform

    Kompromissvorschlag hält an Uploadfiltern fest

  3. Desktop-Modi im Vergleich

    Fast ein PC für die Hosentasche

  4. Android 8.0

    Samsung verteilt Oreo-Upgrade wieder für Galaxy S8

  5. Bilanzpressekonferenz

    Telekom bestätigt Super-Vectoring für dieses Jahr

  6. Honorbuddy

    Bossland muss keine Millionen an Blizzard zahlen

  7. Soziale Netzwerke

    Twitter sperrt Tausende verdächtige Accounts

  8. Qualcomm

    802.11ax-WLAN kann bald in Smartphones kommen

  9. Synthesizer IIIp

    Moog legt Synthie-Klassiker für 35.000 US-Dollar wieder auf

  10. My Playstation

    Sony überarbeitet sein soziales PS-Ökosystem



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  2. Fake News Murdoch fordert von Facebook Sendegebühr für Medien
  3. EU-Urheberrechtsreform Abmahnungen treffen "nur die Dummen"

Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

  1. Re: Meine Ansicht zu dem Ganzen:

    Dasoul | 13:48

  2. Re: bissel überteuert

    AllDayPiano | 13:46

  3. Re: hab meine CD keys nicht mehr *schnüff*

    crackhawk | 13:46

  4. Re: Warcraft...

    Muhaha | 13:44

  5. Re: Verpflichtung zu AGB in leichter Sprache

    Mr Miyagi | 13:42


  1. 13:12

  2. 12:40

  3. 12:07

  4. 12:05

  5. 12:01

  6. 11:50

  7. 11:44

  8. 11:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel