Luka w MSM Messenger większa niż przypuszczano
- Józef Muszyński,
- 19.02.2002, godz. 11:42
Błąd wykryty w MSM Messenger i Windows Messenger z Windows XP, umożliwiający usuwanie nazw i adresów pocztowych użytkowników, może być znacznie groźniejszy w skutkach, niż wcześniej przypuszczano.
Błąd wykryty w MSM Messenger i Windows Messenger z Windows XP, umożliwiający usuwanie nazw i adresów pocztowych użytkowników, może być znacznie groźniejszy w skutkach, niż wcześniej przypuszczano.
Okazuje się bowiem, że operator ośrodka webowego może przejąć kontrolę nad aplikacją MSM Messenger użytkownika i wykonać w jego imieniu wszystkie możliwe zadania, łącznie z przesłaniem wiadomości i osobistych plików. Informację taką podała firma Finjan Software, zajmująca się bezpieczeństwem oprogramowania.
Zobacz również:
- Ruszyły testy satelitów Starlink działających w trybie „direct-to-cell”
- Meta opracowała webową wersję usługi Imagine
Do przejęcia kontroli nad programem MSM Messenger atakujący może wykorzystać znane luki w Internet Explorer, umożliwiające wysłanie specjalnie spreparowanego kodu w przesyłce poczty elektronicznej w formacie HTML lub skierowanie użytkownika do ośrodka webowego, który zawiera ten kod.
Luka ta, znana jako błąd Document.Open(), była wykryta po raz pierwszy w grudniu ub.r. Microsoft do tej pory nie uszczelnił jej (łatka uszczelniająca wydana na początku lutego znikła podobno z serwisu Windows Update po kilku godzinach). Można więc oczekiwać, że luka ta będzie wykorzystywana przez wielu "twórców" i pojawią się wormy oparte na niej. Narażone są systemy MSM Messenger 2.21 i późniejsze, działające na systemach z zainstalowanym Internet Explorer 5.5 i 6.0.
Użytkownicy mogą zabezpieczać się przed wykorzystaniem tej luki drogą wyłączania aktywnego scriptingu w Internet Explorer lub przez zaniechanie używania MSM Messenger, który jest oprogramowaniem oferowanym bezpłatnie przez Microsoft lub jako standardowa składowa Windows XP.