Biztonsági rés a .Net Passportban
Tóth Kristóf, 2003. július 3. 14:13
[smallimage 1 left] A szoftveróriás Microsoft kijavította azt a közelmúltban felfedezett Passport-hibát, amely lehetővé tette a támadók számára, hogy hozzáférjenek egyes felhasználók adataihoz.
A hibára egy biztonsági problémákkal foglalkozó levelezőlistán derült fény az elmúlt héten.
A Microsoft, és egyéb társaságok által alkalmazott .Net Passport online azonosítórendszer lehetővé teszi, hogy a felhasználók e-mail postafiókjuk, valamint egy jelszó segítségével azonosítsák magukat a Világhálón a különböző szolgáltatások használata közben.
A hiba felfedezője, aki magát Victor Manuel Alvarez Castro-nak nevezi közölte a levelezőlistán, hogy egy biztonsági rés található a .Net Passport azon funkciójában, amely lehetővé teszi az elfelejtett jelszó kitörlését, és újjal való kiváltását.
A Passport rendszer jelenleg egy előre meghatározott titkos kérdést tesz fel annak, aki elfelejtette jelszavát. Ez a rendszer azonban csak 1999-től működik, így aki korábban regisztrálta magát, annak a támadók megszerezhették a Passport azonosítóját, illetve személyes adatait. Ehhez csak a felhasználó e-mail címét, valamint lakóhelyének földrajzi elhelyezkedését kellett ismerni.
Jeff Jones, a Microsoft Megbízható Számítástechnika kezdeményezésének biztonsági vezetője úgy véli, a probléma kis horderejű volt, és csak kevés felhasználót érintett. A társaság a napokban lecserélte az elfelejtett jelszó kitörlésének eljárását az érintett felhasználók számára, így a támadók már nem férhetnek hozzá az adatokhoz.
John Pescatore, a Gartner piackutató cég kutatási igazgatója úgy véli, a probléma valóban nem volt komoly, mivel a támadónak az e-mail cím ismerete mellett a várost, irányítószámot, és államot is ismernie kellett a jelszó kitörléséhez. A szakértő azonban jelentősnek ítéli a probléma felhasználói bizalomra irányuló negatív hatását.
Kapcsolódó cikkek
- 11 hibát javít a Microsoft frissítőcsomag
- Kritikus fontosságú Windows-, Office-, Excel-javítások érkeznek
- Microsoft Update-nek álcázott trójai
- Készül a Google-barát Vista SP1
- 15 rést javít a Microsoft 6 biztonsági frissítése
- Négy kritikus javítás kiadására készül a Microsoft
- Big Brother szoftvert barkácsol a Microsoft
- Több előzetes részlet a Microsoft-frissítésekről
- A Windows-frissítőt használják ki hackerek
- MOICE: Office 2007 szintű védelem az Office 2003-nak