Microsoft muss Passport patchen
Das Problem befindet sich in dem Teil des Codes, der für Anwender, die ihr Passwort vergessen haben, zuständig ist. Die so genannte "Secret Question", die beantwortet werden muss, um an das Passwort zu gelangen, kann bei Accounts, die vor Einführung dieses Sicherheits-Features erstellt wurden, von Dritten manipuliert werden, erklärt Victor Manuel Alvarez Castro, eigenen Angaben zufolge Sicherheits-Berater.
Alle Passport-Accounts, die nach Einführung der "Secret Question" im August 1999 erstellt wurden, sind von dem Problem nicht betroffen. Übeltäter, die die Lücke ausnutzen wollen, müssen neben der Mail-Adresse auch das Heimatland des Passport-Mitglieds wissen, um den Account erfolgreich zu übernehmen. Bei US-Bürgern sind zudem das Bundesland und der jeweilige Zip-Code erforderlich.
Microsoft hat die Sicherheitslücke eigenen Angaben zufolge inzwischen gepatcht. Zuvor wurde das Update-Feature allerdings zeitweise abgeschaltet.
Benutzer die vom Problem betroffen sein könnten, sollten sich nach Meinung von Microsoft ohne Schwierigkeiten einloggen können und eine valide Geheimfrage eingeben. Microsoft wirft dem Entdecker der Lücke vor, sich vor der Veröffentlichung in einem Forum nicht an Microsoft gewandt zu haben. (uba)
tecCHANNEL Buch-Shop |
|
---|---|
Literatur zum Thema Webtechnik |
Bestell-Link |
Titel von Pearson Education |
|
PDF-Titel (50% billiger als Buch) |