[starbucks]

Nach einem Posting von Richard Burton auf der Sicherheitsmailingliste Bugtraq weist der MSN Messenger sowie der Windows Messenger unter Windows XP eine Schwachstelle auf, durch die er Kontaktnamen und Mail-Adressen anderer Nutzer preisgibt.

Eigentlich handelt es sich bei der Sicherheitslücke um ein Feature: Surfen Messenger-Nutzer Seiten von microsoft.com, hotmail.com oder hotmail.msn.com an, so haben die entsprechenden Web-Server Zugriff auf die Buddy-Liste des Messengers. Dadurch können Kontaktnamen und E-Mail-Adressen ausgelesen werden.

Der Zugriff dieser Domains kann laut Burton nur dadurch verhindert werden, dass man vor dem Besuch dieser Domains den Messenger deaktiviert. Zudem ist kritisch, dass gegebenenfalls auch andere Domains auf den Messenger zugreifen können: Im Registry-Key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \MessengerService\Policies\Suffixes" können Programme nämlich weitere Domains eintragen, von denen aus der Messenger dann ausgelesen werden kann. Eine Demonstration der Sicherheitslücke gibt es bei Richard Burton. (pab/c't)

starbucks