aMNS deja ver los hash de los usuarios

Thursday, November 04, 2004



El popular cliente de msn para linux AMSN ahora en sus versiones para windows ;sufre una vulnerabilidad ,atraves de la cual puede un usuario local obtener el hash de la cuenta con la cual se inicio sesion en el programa.Despues de haber observado que el cliente amsn al hacer login en el y recibir un nuevo correo nos sale un sobre en la barra de tareas indicando que ha llegado un nuevomail ;le programa abre una pagina local llamada 'hotlog.htm' la cual contiene el usuario y el password codificado del usuario que inicio sesion en el (hash)aparte de otros datos de importante relevancia.Asi mismo el archivo ?config.xml tambien permitiria ver el password codificado solo y si se marco la opcion de recordar contraseƱa podriamos tambien obtener el hash y el remote pass de la cuenta con la cual se inicio sesion.


Hasta el momento no se ha recibido ninguna solucion por parte del desarroyador del producto
la explotacion y explicacion de este agujero es por la forma en que guarda la informacion amsn en la maquina;un usuario local mal intencionado podria tener acceso a esos datos ;llevarlos a otra makina y hacer uso de ellos para acceder a esa cuenta.


Links relacionados:
http://www.securitytracker.com/alerts/2004/Jun/1010555.html
http://sourceforge.net/tracker/index.php?func=detail&aid=976450&group_id=54091&atid=472655
http://sourceforge.net/tracker/index.php?func=detail&aid=979793&group_id=54091&atid=472655"

OSVDB ID :8123and 15049
atentamente
Lostmon (lostmon@gmail.com)

Thnx to estrella she is :) she ?...

--
la curiosidad es lo que hace mover la mente...
 

Browse

About:Me

My blog:http://lostmon.blogspot.com
Mail:Lostmon@gmail.com
Lostmon Google group
Lostmon@googlegroups.com

La curiosidad es lo que hace
mover la mente...