微软Passport服务缺陷可使黑客修改用户口令

微软Passport服务中的一个严重缺陷使用户的账户、包括个人信息和信用卡号码，都处于被黑客攻击的危险之中。

　　该缺陷存在于Passport口令恢复机制中，它可使攻击者改变任何所知名字用户账户的口令。该缺陷是由Full Disclosure安全邮件列表近日公布的。

　　攻击方法的简单性和Passport中经常储存数据的高价值使这个缺陷变得高度危险。

　　提出缺陷的人在电邮中说， 这基本上不是一个被人利用以达到非法目的问题或系统易受攻击的问题，从网络应用逻辑看，这就是一个缺陷。该缺陷已存在很久了，我不过是最近才发现了它。此人自称是一名巴基斯坦安全顾问和MBA学位候选人。

　　微软公司曾宣称Passport系统是微软未来网络服务计划的技术中心。Passport账户是个人在线数据的中心数据库，它可能包括诸如出生日和信用卡这类个人信息，这些数据是进入用户在线账户的惟一钥匙。

　　为防止在线攻击者利用缺陷，微软迅速地在太平洋时间早晨8点前公布了通知。软件巨头已经从根本上关闭了易受攻击的软件功能。微软公司发言人Sean Sundwall说，公司已经停用了所有重置口令的功能。

　　Passport缺陷可使攻击者用一个单独网址—或URL，从Passport服务器上重置口令。含有账户电邮地址的URL可以被修改，攻击者可以利用这个网页重置信息。通过进入网络浏览器的单一路线，攻击者可以让Passport服务器重新回到可重置账户口令的链接。在得到此链接之后攻击者可向系统返回信息，这样攻击者最终就可以修改被攻击者的账户口令。