Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios
Regístrate Identifícate

Cerrado

AMSN deja entrever los hashes a un usuario local

El popular cliente de msn para linux AMSN ahora en sus versiones para Windows, sufre una vulnerabilidad a través de la cual puede un usuario local obtener el hash de la cuenta con la cual se inició sesión en el programa.

Despues de haber observado que el cliente AMSN al hacer login en él y recibir un nuevo correo, nos sale un sobre en la barra de tareas indicando que ha llegado un nuevomail, el programa abre una página local llamada 'hotlog.htm' la cual contiene el usuario y el password codificado del usuario que inició sesión en el hash aparte de otros datos de importante relevancia.

Así mismo el archivo config.xml también permitiría ver el password codificado sólo y sólo si se marcó la opción de recordar contraseña podríamos también obtener el hash y el remote pass de la cuenta con la cual se inició sesion.

Hasta el momento no se ha recibido ninguna solución por parte del desarrollador del producto, la explotación y explicación de este agujero es por la forma en que guarda la información AMSN en la máquina; un usuario local mal intencionado podria tener acceso a esos datos, llevarlos a otra maquina y hacer uso de ellos para acceder a esa cuenta.

Links relacionados:
www.securitytracker.com/alerts/2004/Jun/1010555.html
sourceforge.net/tracker/index.php? func=detail&aid=976450&group_id=54091&atid=472655
sourceforge.net/tracker/index.php? func=detail&aid=979793&group_id=54091&atid=472655