|
日前�����,微軟Passport服務(wù)中發(fā)現(xiàn)的一個(gè)嚴(yán)重安全漏洞可使用戶(hù)的賬戶(hù)信息�,包括他們的個(gè)人信息和信用卡號(hào)碼處于被偷竊的風(fēng)險(xiǎn)之中����。
該漏洞存在Passport的密碼恢復(fù)機(jī)制中,可使攻擊者在不知用戶(hù)名的情況下改變?nèi)我毁~戶(hù)的密碼�。該漏洞5月7日晚公布在安全郵件列表Full Disclosure中。
攻擊方式的簡(jiǎn)便性以及Passport賬戶(hù)中儲(chǔ)存的經(jīng)常使用的數(shù)據(jù)的高價(jià)值性使這一漏洞具有高危險(xiǎn)性����。公布該漏洞的作者自稱(chēng)屬于一家巴基斯坦安全咨詢(xún)公司并正報(bào)考MBA,叫Muhammad Faisal Rauf Danka����。他在給CNET News.com網(wǎng)站的一封電子郵件中稱(chēng),“這很難稱(chēng)之為脆弱性��,只不過(guò)是網(wǎng)絡(luò)應(yīng)用邏輯中的一個(gè)漏洞���,已存在了很長(zhǎng)時(shí)間�����,我最近才發(fā)現(xiàn)��!
微軟公司迅速采取了預(yù)防措施,防止網(wǎng)絡(luò)攻擊者利用該問(wèn)題�����,并在美國(guó)太平洋時(shí)間當(dāng)晚8時(shí)發(fā)布安全警告��。至晚11時(shí)30分�����,微軟公司已基本關(guān)閉了這一脆弱功能�����。該公司發(fā)言人稱(chēng):“我們已關(guān)閉了所有重置密碼的功能��������!
該漏洞可使攻擊者利用任一網(wǎng)址���,或URL向Passport服務(wù)器發(fā)出一個(gè)重置密碼的請(qǐng)求。URL中包含要改變的賬戶(hù)的電子郵件地址以及攻擊者希望將重置信息發(fā)送至的地址�。通過(guò)在瀏覽器地址欄輸入上述內(nèi)容,攻擊者就能夠使Passport服務(wù)器返回一個(gè)可重置賬戶(hù)密碼的鏈接�����。通過(guò)返回信息中的鏈接��,攻擊者就能改變被攻擊者的密碼���。
截至5月7日晚���,尚不清楚是否所有的Passport賬戶(hù)均受該漏洞影響����,但幾名安全專(zhuān)家已證實(shí)該漏洞確實(shí)存在����。
出處:賽迪網(wǎng)
責(zé)任編輯:藍(lán)色
|
