El cliente de mensajería instantánea Windows Messenger, también conocido
como MSN Messenger, revela el nombre y los contactos a los usuarios
remotos.
Se ha reportado una vulnerabilidad de divulgación de información en el
cliente de mensajería instantánea Messenger de Microsoft, de forma que
un usaurio remoto puede crear una página web o un e-mail html que
provoque que el Messenger del receptor muestren el nombre y los
contactos.
Un usuario remoto puede crear un javascript que provoque que MSN
Messenger o Windows Messenger divulguen la información personal
almacenada. El atacante podrá conocer el nombre del usuario en Messenger
así como toda su lista de contactos. Si el usuario no ha configurado su
nombre en Messenger («nombre para mostrar») entonces se recuperará su
dirección de e-mail.
Se ha reportado que ciertos sitios web de Microsoft, así como los
dominios listados en el registro podrán obtener el nombre de usuario y
su dirección e-mail. La lista de dominios que tienen completo acceso a
la funcionalidad de Messenger se encuentra localizada en la clave del
registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MessengerService\Policies\Suffixes
con valores «Suffix0», «Suffix1», etc.
La única forma que el usuario tiene de evitar que accedan a su
información personal es abandonar Messenger antes de visitar la página
web maliciosa.
antonior@hispasec.com
Más información:
Windows Messenger (aka MSN Messenger) Instant Messaging Client
Discloses Display Name and Contacts to Remote Users
http://securitytracker.com/alerts/2002/Feb/1003436.html
Deja un comentario