ChinaByte 5月9日消息 微软公司的Passport服务中的一个严重安全缺陷使包括个人资料和信用卡号码在内的用户帐户存在被泄露的危险。
存在于Passport服务口令恢复机制中的该缺陷使得黑客能够修改任何已知用户名帐户的口令,该缺陷是于周三晚上在安全邮件列表Full Disclosure上被公开的。实施这种攻击的简易性和存储在Passport帐户中资料的高价值使得该缺陷非常危险。
微软公司一直将Passport吹捧为其Web服务未来的,Passport帐户是用户网络资料的中心仓库,可能包括生日、信用卡号码等个人资料。
微软公司迅速采取行动,阻止黑客利用该缺陷兴风作浪。在该缺陷于晚上8点公布后,微软公司于11:30就关闭了存在缺陷的功能。该公司的发言人席安说,我们已经关闭了所有重新设置口令的功能。
该缺陷使黑客可以利用一个Web地址━━URL请求Passport服务器执行口令设置操作,URL包含有要修改的帐户的电子邮件和黑客希望设置信息发送的地址。通过在浏览器地址栏中输入一行内容,黑客就能够使Passport服务器返回能够使帐户口令被重新设置的链接,根据返回的链接,黑客就能够修改相关帐户的口令。
目前还不清楚该缺陷是否会影响所有的Passport帐户,还是只影响很少一部分帐户。一些安全专家已经证实,黑客可以很简单地利用该缺陷窃取用户的资料。但这一缺陷并没有得到所有人的证实,另有一些安全安全专家在实验时没有从服务器获得返回的链接。(完)
