MSN Messenger CryptUnprotectData程序原始密码获取漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1196289 漏洞类型 未知
发布时间 2006-01-22 更新时间 2006-01-22
CVE编号 CVE-2006-0363 CNNVD-ID CNNVD-200601-278
漏洞平台 N/A CVSS评分 2.1
|漏洞来源
https://www.securityfocus.com/bid/88457
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200601-278
|漏洞详情
MSNMessenger7.5中的"记住我的密码"功能,将密码以加密格式存储在HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\Creds注册表键中,这可能让本地用户通过调用CryptUnprotectData的程序获取原始密码,如"MSNPasswordRecovery.exe"程序所示。注意:可能有争议称,仅本地密码恢复是固有的不安全问题,因为解密方法和密钥必须存储在本地系统上的某个位置中,所以原本就是通过不同程度的努力即可访问这些数据的。可能此问题不应包含在CVE中。
|受影响的产品
Microsoft MSN Messenger Service 7.5
|参考资料

来源:BUGTRAQ
名称:20060117Re:MSNMessengerPasswordDecrypterforWinXP/2003
链接:http://www.securityfocus.com/archive/1/archive/1/422283/100/0/threaded
来源:BUGTRAQ
名称:20060113Re:MSNMessengerPasswordDecrypterforWinXP/2003
链接:http://www.securityfocus.com/archive/1/archive/1/421921/100/0/threaded
来源:MISC
链接:http://www.msn-password-recovery.com/