MSN/Windows Messenger để lộ thông tin cá nhân

Một chức năng trong MSN và Windows Messenger được lập ra nhằm nhận diện người sử dụng IE trên các website của Microsoft (cho dù người sử dụng không biết hoặc không đồng ý). Nhưng nó có thể dễ dàng bị bất kỳ một Webmaster với một ít Javascript hay VBscript lạm dụng.

Theo bài viết của Richard Burton gửi trên BugTraq, chức năng đó cho phép bất kỳ ai cũng có thể lấy được username của người dùng Messenger và những đối tượng mà người đó liên lạc. Nếu không thể tìm được username thì địa chỉ e-mail của người đó và những người nằm trong danh sách liên lạc sẽ hiện lên.

Theo lý thuyết, chỉ Microsoft.com, Hotmail.com và Hotmail.msn.com mới tiếp cận được địa chỉ e-mail của người sử dụng. Tuy nhiên, một đoạn chương trình nhỏ có thể dễ dàng thiết lập registry trong quá trình cài đặt, cho phép website liên quan lấy được đầy đủ thông tin từ Messenger.

Sử dụng cụm khóa dưới đây HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ MessengerService\ Policies\ Suffixes có thể khiến các website với những đuôi nhất định tiếp cận Messenger.

Theo mặc định, sẽ không có đuôi tên miền nào được liệt kê trong giá trị registry đó, nhưng các tên miền của Microsoft được gắn trong Messenger. Những người sử dụng Opera, Mozilla và Netscape không bị ảnh hưởng.

Văn Bình (theo Register)