Sicherheitslücke im MSN-Messenger: Name und E-Mail offen

Auch fremde Websites könnten Kontaktliste und E-Mail-Adressen abrufen

Der MSN Messenger und der Windows Messenger unter XP haben nach Ansicht des Sicherheitsexperten Richard Burton eine gravierende Sicherheitslücke, mit der es möglich ist, über eine Website persönliche Informationen über die User abzurufen.

Artikel veröffentlicht am ,

Mittels Java- oder VBscript soll es möglich sein, den Usernamen sowie alle Kontakte inklusive E-Mail-Adressen des betroffenen Users abzurufen. Unter bestimmten Umständen soll anstelle des Usernamen auch die E-Mail-Adresse des Anwenders abrufbar sein.

Stellenmarkt
  1. Bereichs-Informationssicherh- eitsbeauftragte*r (m/w/d) in der Stabstelle Sicherheit der Feuerwehr ... (m/w/d)
    Stadt Köln Berufsfeuerwehr, Amt für Feuerschutz, Rettungsdienst und Bevölkerungsschutz, Köln
  2. ERP-Anwendungsentwickler m/w/d
    RAMPF Holding GmbH & Co. KG, Grafenberg (bei Metzingen)
Detailsuche

Microsoft selbst könne über seine eigenen Websites wie microsoft.com, hotmail.msn.com oder hotmail.com diese Möglichkeit nutzen, alle Besucher, die gleichzeitig die betroffenen Instant-Messenger nutzen, zu beobachten und zu verfolgen.

Außer der Microsoft-eigenen Domains könnten durch eine einfache Registry-Änderung auch andere Websites die entsprechenden Daten abrufen. Die Änderung in der Registrierungsdatei könne beispielsweise durch Spyware oder Adware gemacht werden, damit deren Dienstebetreiber ebenfalls die Anwender überwachen können, mutmaßen die Entdecker der Sicherheitslücke. Der Registry-Eintrag liegt unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ MessengerService\Policies\Suffixes". Dort befinden sich normalerweise keine Einträge, können aber hinzugefügt werden. Mit dem Wert Suffix0 = "test.com" könnte man Websites innerhalb von test.com Zugriff auf die Messenger-Informationen verschaffen. Natürlich wäre eine generelle ".com"-Freigabe ebenso möglich. Obwohl sich unter dem Schlüssel standardmäßig keine Einträge finden, seien in den Messenger-Programmen drei Microsoft-Domains hardgecoded eingebaut, die man auch nicht entfernen könne, so die mutmaßlichen Entdecker der Sicherheitslücke.

Die einzige Chance, dem möglichen Zugriff zu entgehen, liegt demzufolge im Abschalten des Messengers vor dem Besuch der Microsoft-Websites.

Auf der Website raburton.members.easyspace.com/msn/ ist eine Demonstration der Sicherheitslücke hinterlegt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
artikel-bild
Silence S04
Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
artikel-bild
Microsoft
Das nächste große Update für Windows 10 kommt im November
artikel-bild
Arduino und Python
Bastler nimmt Audiokassette als Speichermedium für Retro-PC
artikel-bild
Macbook Pro
Apple bestätigt High Power Mode für M1 Max
artikel-bild
Bis Ende 2022
VW-Manager müssen wegen Chipkrise Verbrenner fahren
Kommentarübersicht
Re: MSN-Messenger-Sicherheitslücke: Name und E...
Shai Rainbow 06. Feb 2002

Gut, dass es auch ohne den MSN Messenger geht, z.B. mit Trilian :-))

Re: MSN-Messenger-Sicherheitslücke: Name und E...
? 06. Feb 2002

man kann auch als msnsecure.reg die datei verwenden, die man unter raburton.members...

Re: MSN-Messenger-Sicherheitslücke: Name und E...
? 06. Feb 2002

also, bei mir scheints nicht zu klappen. klar, wenn man was installiert, was von innen...

Aktuell auf der Startseite von Golem.de
Macbook Pro
Apple bestätigt High Power Mode für M1 Max

Käufer des Macbook Pro mit M1 Max können wohl in MacOS Monterey per Klick noch mehr Leistung aus dem Gerät herausholen.

Macbook Pro: Apple bestätigt High Power Mode für M1 Max
Artikel
  1. Bundesregierung: Autobahn App 2.0 im ersten Quartal 2022 geplant
    Bundesregierung
    Autobahn App 2.0 im ersten Quartal 2022 geplant

    Die Opposition kritisiert die massiven Kosten, Nutzer bewerten die App schlecht. Dennoch soll die Autobahn App nun erweitert werden.

  2. Klage: Google soll E-Privacy und Werbemarkt manipuliert haben
    Klage
    Google soll E-Privacy und Werbemarkt manipuliert haben

    Mehrere US-Bundesstaaten haben Klage gegen Google eingereicht. Das Unternehmen rühmt sich derweil, Regulierungen verlangsamt zu haben.

  3. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Gutscheinheft mit Direktabzügen und Zugaben • Nur noch heute: Mehrwertsteuer-Aktion bei MediaMarkt • Roccat Suora 43,99€ • Razer Goliathus Extended Chroma Mercury ab 26,99€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. ASUS ROG Strix Z590-A Gaming WIFI 258€) [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /