Windows Messenger revela información privada
Según publica Hispasec, Windows Messenger, también conocido como MSN Messenger y .NET Messenger presenta una vulnerabilidad que le hace revelar el nombre y los contactos de los usuarios remotos. Un usuario malicioso podría obtener toda esta información de una manera relativamente sencilla.
Reproducido de Hispasec:
El cliente de mensajería instantánea Windows Messenger, también conocido como MSN Messenger, revela el nombre y los contactos a los usuarios remotos.
Se ha reportado una vulnerabilidad de divulgación de información en el cliente de mensajería instantánea Messenger de Microsoft, de forma que un usuaurio remoto puede crear una página web o un e-mail html que provoque que el Messenger del receptor muestren el nombre y los contactos.
Un usuario remoto puede crear un javascript que provoque que MSN Messenger o Windows Messenger divulguen la información personal almacenada. El atacante podrá conocer el nombre del usuario en Messenger así como toda su lista de contactos. Si el usuario no ha configurado su nombre en Messenger ("nombre para mostrar") entonces se recuperará su dirección de e-mail.
Se ha reportado que ciertos sitios web de Microsoft, así como los dominios listados en el registro podrán obtener el nombre de usuario y su dirección e-mail. La lista de dominios que tienen completo acceso a la funcionalidad de Messenger se encuentra localizada en la clave del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MessengerService\Policies\Suffixes con valores "Suffix0", "Suffix1", etc.
La única forma que el usuario tiene de evitar que accedan a su información personal es abandonar Messenger antes de visitar la página web maliciosa.
Enlaces relacionados:
.NET Messenger Service
Noticia en Hispasec