|
在Windows/MSN Messenger中主要的隐私漏洞
一个聪明的经验主义者发现,在MSN和Windows Messenger中一个有用的特性,就是将IE用户在没有得到他们的许可和赞成的情况下,在一个微软的软件上能够将他们轻易的区别开来,这个特性能够被任何使用一点Javascript或者VBscript的网管所滥用。
据一个星期一BugTraq的邮件列表中,Richard Burton说这个特性使得任何人都能够获得一个上网者的信息用户名和他的联系名单。
更糟的是,如果不能获得用户名的话,取而代之的将是该上网者及其好友的电子邮件列表。
只有,Microsoft.com, Hotmail.com和Hotmail.msn.com能够访问这些上网者和他好友的邮件地址--这就已经够糟了。然而,一个软件在安装的时候,能够轻易的制造一个注册表,这就使得一个相关的网站能够获得用户的完整信息了。
使用一个注册表的键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MessengerService\Policies\Suffixes ,一个半恶意的程序能够轻易的通过一定后缀的网络来运行这个程序。据Burton说,这个后缀可能就是像.org 或者.com,这将使得这些后缀的网站能够了解你的细节。
Burton说默认上,在这个注册表键中是没有任何的后缀的,但是微软的域被强行的加到Messenger中去,可能是为了向客户服务加强公司的知名程序,或者就是通过一些狡猾的方法来作广告。
现在所知的就是对于IE用户来说,修正方法就是在上微软的网站的时候,关闭Messenger。Burton说检查一下上面提及的注册表键也是一个好注意,特别是在安装了软件之后。
除此之外,来自我们读者的报道说,其他像使用Opera, Mozilla 和Netscape的用户并没有受到感染。我们听说Trillian的用户,即使他们使用IE,也是一切正常。最后,通过将浏览器设定为纺织脚本ActiveX控制,使用IE和Messenger能够防止这个问题。所有的这一切只是初步的,我们将在我们获得更多的信息更新新闻。
(chinaFirst,2002-02-07)
|
