Passport e il buco-passpartout

Un esperto ha scoperto una debolezza nel sistema cambia-password di Passport che potrebbe consentire ad un aggressore di rubare dati di altri utenti. Microsoft corre ai ripari


Redmond (USA) – Alcuni esperti di sicurezza hanno recentemente lanciato l’allarme per quella che considerano una delle più gravi vulnerabilità di sicurezza emerse in Passport, il noto servizio di autenticazione sul Web di Microsoft.

Secondo quanto descritto in un messaggio apparso sulla mailing-list di sicurezza Full Disclosure , la falla interessa – o meglio, interessava, visto che Microsoft avverte di aver già tappato il buco – il meccanismo di recupero delle password che Passport mette a disposizione degli utenti più” distratti”.

Secondo il post, un aggressore avrebbe potuto sfruttare la debolezza per cambiare la password di qualsiasi account di cui conosca il nome utente: in questo modo il malintenzionato avrebbe potuto autenticarsi nel servizio con la nuova password e rubare tutte le informazioni dell’utente che ha creato l’account, incluso l’eventuale numero di carta di credito.

L’esperto di sicurezza che ha divulgato il baco sostiene che la semplicità con cui l’attacco poteva essere portato a termine faceva di questa vulnerabilità un problema molto serio, soprattutto considerando la grande diffusione di Passport.

Della gravità della situazione si è resa conto la stessa Microsoft che, nel giro di sole tre ore dalla pubblicazione dell’advisory, ha provveduto a bloccare la funzionalità a rischio così da impedire l’azzeramento delle password attraverso l’invio al server di una URL malevola: questa è infatti la tecnica che, secondo alcuni esperti, era già stata utilizzata da uno o più cracker per ingannare il sistema e ricevere, nella propria mailbox, un link attraverso cui poter modificare la password di altri utenti.

Il team di sicurezza di Microsoft si è detto al lavoro per riprogettare il sistema di recupero delle password in modo che non sia più vulnerabile a questo tipo di attacchi.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    come dire ...
    un bug al giorno aiuta il lamer di turno
  • Anonimo scrive:
    Come volevasi dimostrare...
    Partendo dal presupposto che tutti i software hanno potenziali bachi (e quando dico tutti intendo dire proprio tutti, sia open che closed !), perchè affidare dati sensibili (come il numero della carta di credito) ad un softwareservizio prodottofornito da chi espressamente ha scritto nella licenza che non si assume NESSUNA responsabilità per danni etc. etc. ?A mio parere non è mai saggio affidare a risorse condivise o condivisibili questo tipo di informazioni. Occorre una bella dose di masochismo per farsi del male in questo modo !Comunque sono cavoli di chi si è affidato (in questo caso) a Passport, io non mi fido oggi e non mi fiderò mai in futuro di nessun software o servizio del genere.Chiamatemi paranoico ma.....
  • Anonimo scrive:
    "zio bill" del forum
    issa cosa dira' il nostro caro amico "zio bill" del forum a proposito?(linux)
  • Anonimo scrive:
    BS Player
    http://www.bsplayer.org/Io il Windows Media ce l'ho ancora fermo al 6.4; e per quanto mi riguarda resta lì.
    • Anonimo scrive:
      Re: BS Player
      BS Player è senza dubbio il migliore lettore multimediale oggi presente sul mercato, alla faccia dei miliardi investiti da MS per sviluppare il wmp9 e il suo protocollo di censura/protezione
      • CoreDump scrive:
        Re: BS Player
        - Scritto da: Anonimo
        BS Player è senza dubbio il migliore lettore
        multimediale oggi presente sul mercato, alla
        faccia dei miliardi investiti da MS per
        sviluppare il wmp9 e il suo protocollo di
        censura/protezioneIn windows sicuramente, su linux esiste pero' mplayerche secondo il mio modesto parere sta avanti a tutti.saluti.
  • Anonimo scrive:
    Pur di farti scaricare WMP 9
    Guarda che si sono studiati per cercare di obbligarti a installare la WMP 9 !Probabilmente quando uscirà Longhorn inizieranno a dire che WinXP deve essere sostituito al più presto perchè si è scoperto che favorisce la pedofilia on-line.
    • Anonimo scrive:
      Re: Pur di farti scaricare WMP 9
      - Scritto da: Anonimo
      Guarda che si sono studiati per cercare di
      obbligarti a installare la WMP 9 !

      Probabilmente quando uscirà Longhorn
      inizieranno a dire che WinXP deve essere
      sostituito al più presto perchè si è
      scoperto che favorisce la pedofilia on-line.Così hanno fatto quando dovevano convincere tutti a mollare winme (e anche il proprio computer, visto il consumo di risorse di xp) e prendere xp.LOL! Gli utenti windows ormai sono i "servi della gleba" informatica!*** No maffia on my pc ***
  • Anonimo scrive:
    E questi ci parlano di........
    ..........Palladium e sicurezza?Ma ci facciano il piacere!
  • Anonimo scrive:
    Bella novità !
    E lo hanno scoperto solo ora ?
    • Anonimo scrive:
      Re: Bella novità !
      Dimenticavo, il file dello skin è semplicemente un file zip con l'estensione cambiata. All'interno è contenuto un javascript che ha accesso a quasi tutto il sistema.
  • Anonimo scrive:
    Solo Bill ci riesce...
    ...ad creare una applicazione che potrebbe scaricare skin malevoli. Incredibile. Prima o poi anche i semplici TXT diventeranno pericolosi, basta che Bill ci metta zampino ed accadrà. ;-)
  • Anonimo scrive:
    UHAUHAUHAUAHUAHUHA
    Un aggressore può sfruttare il bug del WMP "per piazzare un file mascherato da skin in una locazione conosciuta della macchina dell'utente", ad esempio nella cartella Esecuzione automatica. Il file può consistere in uno script o in un qualsiasi altro tipo di eseguibile malevolo.ma si può...?
    • Skaven scrive:
      Re: UHAUHAUHAUAHUAHUHA
      - Scritto da: Anonimo
      ma si può...?Con chi spende piu un marketing che sviluppo si puo' questo ed altro!!
Chiudi i commenti