|
|
В интернет-пейджере MSN Messenger обнаружена уязвимость, позволяющая получить имя пользователя и его список контактов с помощью небольшого скрипта, встраиваемого в код веб-страницы. Дыру нашёл Ричард Бертон. Сообщение об этом появилось на днях в рассылке Bugtraq. На своей странице Бертон демонстрирует "работу" дыры. Если добавить в реестр Windows ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MessengerService\Policies\Suffixes и записать в него домен верхнего уровня (например, .com или .ru), то расположенные в этом домене скрипты получат доступ к списку контактов MSN Messenger. Если ключа нет, эту информацию могут получить лишь в доменах microsoft.com, hotmail.com и hotmail.msn.com. По мнению Бертона, изначально эта функция проектировалась разработчиками Microsoft как дополнительная возможность Messenger. С её помощью сайты MSN могут идентифицировать пользователей. Пока что единственный способ оградить свой компьютер от потенциальной утечки информации - выключать службу Messenger при посещении непроверенных сайтов. Полезным также будет проверять вышеуказанный ключ реестра после установки каких-либо программ. Источник: Журнал "Компьютерра" |
|