Sicherheitsloch im MSN-Messenger

Übertragen lassen sich Benutzername, Mail-Adresse und die Liste der Chatpartner.

Die neue Lücke taucht in der Security-Mailingliste Bugtraq auf, wie unsere Schwesterpublikation Tecchannel berichtet. Der Entdecker namens Richard Burton beschreibt darin ausführlich, wie wenig die Daten eines Benutzers des MSN-Messenger geschützt sind.

Microsoft verwendet den Messenger unter anderem, um registrierte Benutzer von Diensten wie MSN, Hotmail oder Passport mit dem Namen zu begrüssen. Dazu dürfen diese Sites über ein Script, das im Code der Webseite eingebettet ist, den Benutzernamen, die Mail-Adresse und die Liste der Chatpartner auslesen. Wie sich die Microsoft-Sites gegenüber dem Messenger zu erkennen geben, beschreibt Burton nicht, er vermutet, die Liste sei im Messenger fest eingebaut.

Burton hat nun entdeckt, dass sich diese Liste der vertrauenswürdigen Sites über einen Registry-Key beliebig erweitern lässt.