2012年11月16日 星期五

微軟緊急修補Skype密碼重設漏洞


微軟緊急修補Skype密碼重設漏洞

有心人士只要透過既有Skype用戶所使用的電子郵件再去申請一個新的Skype帳號,就能透過Skype站上的密碼重設功能取得使用同一電子郵件之所有Skype帳號的掌控權。此一漏洞被公開後,微軟旋即暫時中止密碼重設功能並進行更新。



俄國論壇周二(11/13)公布了挾持他人Skype帳號的步驟,使得微軟隔天立即中止並更新了Skype的密碼重設功能。

俄國駭客早就在3個月前就透過駭客論壇公布了該漏洞,只是微軟並未採取任何行動。根據論壇上的說明,有心人士只要透過既有Skype用戶所使用的電子郵件再去申請一個新的Skype帳號,就能透過Skype站上的密碼重設功能取得使用同一電子郵件之所有Skype帳號的掌控權,包括資安業者以及部份媒體皆已成功重製此一攻擊行動,且在幾分鐘內就能完成。

趨勢科技安全研究總監Rik Ferguson指出,執行該攻擊唯一需要的就是受害者的電子郵件帳號,建立新帳號後再利用線上密碼重設功能就能挾持Skype用戶的帳號,甚至連小孩都做得到。

在此一漏洞被公開後,微軟旋即發表聲明,指出該漏洞影響某些以同一電子郵件帳號註冊多個Skype帳號的用戶,因此在周三(11/14)早上暫時中止密碼重設功能並進行更新,現已可正常運作,同時通知那些可能受到影響的少數用戶,以在必要時提供協助。(編譯/陳曉莉)

轉載自《iThome》

沒有留言:

張貼留言