Jak donoszą Tom Gilder i Thor Larholm na swojej stronie możliwe jest wykorzystanie luk IE w celu przejęcia sesji użytkownika MSN Messengera.
Hijacker może dzięki temu odczytywać listę kontaktów oraz anonimowo wysyłać (na konto ofiary) wiadomości, e-maile oraz dowolne pliki lokalne z komputera ofiary. Po przejęciu sesji możliwe jest anonimowe wykonywanie wszystkich czynności, które są dostępne dla zwykłego użytkownika Messengera.
Ten problem nie jest wynikiem luki w MSN Messengerze. Powoduje go document.open bug odkryty przez The Pull, który nie został załatany niespełna od dwóch miesięcy. Pisał o tym SecurityFocus.
Podatność na atak została przetestowana na następujących wersjach Windows i Messengera:
Jest jednak wysoce prawdopodobne, że problem dotyczy wszystkich wersji Messengera dla wszystkich systemów operacyjnych.
Aby dowiedzieć się czegoś więcej z praktycznego punktu widzenia można zajrzeć na "stronę demonstracyjną" messengerowej pluskwy.
Dostępna jest także pełna lista luk w IE6.
Historia problemów z MSN Messengerem jest szczegółowo opisywana przez SecurityFocus
MSN Messenger Hijacking
Zabezpieczenia |
Pon, 11 Luty 2002 19:23:04 +0100 |
Autor:
Redakcja
| Czytań: 2323
Pozostałe wiadomości w kategorii Zabezpieczenia (371)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9520 pkt.
2
grzemach 850 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 120 pkt.
6
elmocamp 100 pkt.
7
Tommy 100 pkt.
8
Scoti 80 pkt.
9
sevar 60 pkt.
10
Maximus 50 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.