MSN Messenger CryptUnprotectData程序原始密码获取漏洞

漏洞信息详情

MSN Messenger CryptUnprotectData程序原始密码获取漏洞

• CNNVD编号：CNNVD-200601-278
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2006-0363
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2006-01-22
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2006-01-24
  
• 厂        商：
  
  microsoft
• 漏洞来源：

MSN Messenger 7.5中的\”记住我的密码\”功能，将密码以加密格式存储在HKEY_CURRENT_USER＼Software＼Microsoft＼IdentityCRL＼Creds注册表键中，这可能让本地用户通过调用CryptUnprotectData的程序获取原始密码，如\”MSN Password Recovery.exe\”程序所示。注意：可能有争议称，仅本地密码恢复是固有的不安全问题，因为解密方法和密钥必须存储在本地系统上的某个位置中，所以原本就是通过不同程度的努力即可访问这些数据的。可能此问题不应包含在CVE中。

来源: BUGTRAQ

名称: 20060117 Re: MSN Messenger Password Decrypter for WinXP/2003

链接:http://www.securityfocus.com/archive/1/archive/1/422283/100/0/threaded

来源: BUGTRAQ

名称: 20060113 Re: MSN Messenger Password Decrypter for WinXP/2003

链接:http://www.securityfocus.com/archive/1/archive/1/421921/100/0/threaded

来源: MISC

链接:http://www.msn-password-recovery.com/