MSN Messenger blijkt beveiligingsfout te bevatten

Bughunter Richard Antony Burton heeft bewezen dat er een gat in de software van MSN Messenger van Microsoft zit, waarmee de contactlijst van een gebruiker ongevraagd openbaar kan worden gemaakt. Gebruikers van dit programma en Internet Explorer zien hun MSN-naam en de namen van de kennissen op de website van Burton staan. Op zijn website wordt ook een oplossing aangereikt om dit te voorkomen. Volgende week zal het softwarebedrijf zelf met een oplossing komen, aldus persbureau Bloomberg. Hieronder een gedeelte uit het artikel:

MSN logoBy default, everyone has access to your display name and those of your contacts, but only Microsoft can get your email address this way. However third parties could get access to the email addresses, by simply adding a single entry to your registry. That would require a little more effort, but is easily done. e.g. Installing software which contains "spyware" or "adware" (such as Kazaa, Go!Zilla, Direct Connect, etc.*), could easily add such an entry to your registry. After that you could be sending your email address to them every time your computer loads an advertising banner from their site.

Wij danken Verwijderd voor de tip.

Door Robin van Rootseler

Developer

Feedback • 06-02-2002 14:47 55

06-02-2002 • 14:47

55

Bron: R. A. Burton

Lees meer

Kritieke bug in Internet Explorer ontdekt
Kritieke bug in Internet Explorer ontdekt Nieuws van 1 juli 2005
MSN Messenger heeft nu 4 miljoen Nederlandse gebruikers
MSN Messenger heeft nu 4 miljoen Nederlandse gebruikers Nieuws van 13 februari 2004
Virtueel gevecht: spyware vs. anti-spyware
Virtueel gevecht: spyware vs. anti-spyware Nieuws van 27 maart 2002
Software

Reacties (55)

-Moderatie-faq
55
47
30
9
3
0
Wijzig sortering

Sorteer op:

Weergave:
edm 6 februari 2002 15:48
Ach hoe relevant, zet maar eens in een netwerk ethereal aan dan kun je de gespreken gewoon volgen. Dus wat maakt het dan nog uit dat je contactlijst zichtbaar kan worden gemaakt.... Voor meer info kun je b.v. op securityfocus terecht.
Anarril 6 februari 2002 16:18
Hehe, met Trillian werkt het niet. Dat zet je toch aan het denken. Ze zullen het toch niet expres gedaan hebben? Ik zie RetepV hierboven al iets soortgelijks opmerken, en het is wel toevallig natuurlijk dat de client opeens zomaar zijn helecontactlist opstuurd als iemand daarom vraagt. Ik bedoel: als Trillian het niet doet, was het schijnbaar / meer / werk, en dus er bewust in gestopt...
Devour 6 februari 2002 14:54
Dit verbaast me niet echt,.. MS heeft meer internetdiensten die ze niet goed dicht kunnen krijgen. Ze zijn dan wel eens waar een veelgebruikte messenger en daardoor worden lekken ook eerder gevonden, maar dat neemt niet weg dat MS ook het geld heeft om dit soort dingen correct te maken.

Ze zijn toch echt op een hele andere voet begonnen dan bv. ICQ
RetepV @Devour6 februari 2002 15:13
Ze zijn dan wel eens waar een veelgebruikte messenger en daardoor worden lekken ook eerder gevonden
Sja, Microsoft heeft er op aangestuurd om de meestgebruikte messenger te worden. Daarom is het juist des te erger dat er beveiligingslekken in zitten.

Overigens vind ik dit lek vrij onschuldig. Je e-mail adres is namelijk toch al niet veilig bij Microsoft (en ik bedoel dit niet om te trollen, dit zeggen ze zelf in de kleine lettertjes)...

(P.S.: 'weliswaar', niet 'wel eens waar' :))
Verwijderd @RetepV7 februari 2002 10:27
AOL is nog altijd de grootste internetprovider en AIM en ICQ hebben de grootste userbase. En zitten daar geen lekken in? Ik dacht toch echt dat de laatste tijd een aantal veel ergere beveiligingslekken in die IM's was gevonden....

On a side note: wanneer begint nou eens de anti-trust zaak tegen AOL Time Warner? Die lui hebben inmiddels meerderheidsbelangen in alle takken van de entertainmentindustrie...
evl 6 februari 2002 15:00
Wat loopt iedereen nou te zeuren over MS. Als 90% van de computergebruikers MS gebruikt is het logisch dat daar de meeste bugs worden gevonden. Het is niet goed te praten daar gaat het niet om maar een beetje reeel nadenken kan ook wel.
mxcreep @evl6 februari 2002 15:12
Het zou wel een goed idee zijn om bij de installatie eens wat veiligere instellingen te selecteren als default, nu wordt er van alles aangezet wat problemen bij ondeskundig gebruik kan opleveren.

Tevens zou het aan te raden zijn voor ome bill als ie eens wat meer tijd in testen en doorontwikkelen van zijn nieuwe gadgets zou steken en wat minder in de uiterlijke presentatie en marketing.
Als het produkt beter was was die hele sloot marketing niet eens nodig, een goed produkt verkoopt zichzelf......
RetepV @evl6 februari 2002 15:18
90% van de computergebruikers gebruiken MSN omdat Microsoft hard zijn best heeft gedaan om dat voor elkaar te krijgen. Daarbij gaat MS over (virtuele) lijken.

Je zou wel mogen verwachten dat als een bedrijf ZO veel moeite doet om een markt te veroveren ze overtuigd zijn dat ze het beste product hebben.

Inderdaad zijn zij er van overtuigd dat ze het beste product hebben, maar blijkt achteraf toch wel heel erg vaak dat die overtuiging eigenlijk nergens op gestoeld is.

Ik bedoel: dit soort dingen komen er niet per ongeluk in, het is ook geen bug. Het is een feature die Microsoft expres in MSN heeft ingebouwd, maar waar ze (zoals de laatste tijd gewoonlijk) niet goed over na hebben gedacht.

Dit soort berichtjes doet mijn vertrouwen in .NET alleen nog maar erger wankelen.
PipoDeClown @RetepV6 februari 2002 15:20
Ik bedoel: dit soort dingen komen er niet per ongeluk in, het is ook geen bug. Het is een feature die Microsoft expres in MSN heeft ingebouwd, maar waar ze (zoals de laatste tijd gewoonlijk) niet goed over na hebben gedacht.
Amen
Praetorian 6 februari 2002 14:57
Dit is al super oud.... ga maar eens naar de site www.mess.be (allemaal MSN fun etc) Daar zie je ook je contact list op de site verschijnen, en wat d8 je als je gewoon in logt op de site van Hotmail? daar komt toch ook je lijst online te staan dmv een beetje HTML code?

Dr is inmiddels al een update uit van MSN....
Verwijderd @Praetorian6 februari 2002 14:58
he die trouwens ook niet, als je via trillian inlogt is dat dus niet mogelijk
Verwijderd @Praetorian16 februari 2002 19:21
Idd, de namen van je contacts, dat mag, het gaat hier om de e-mail adressen.
Francois 6 februari 2002 15:36
Volgens mij is dit helemaal geen fout, maar gewoon functionaliteit. Via javascript wordt de messenger API aangesproken, en zo komt die info er uit. Lekker belangrijk, Microsoft passport sites (hotmail etc.) doen precies hetzelfde. En daar zeikt niemand over.

Nogmaals, het hoort gewoon zo, en als het je niet bevalt moet je msn messenger niet gebruiken :)

Hoax
jvreuls @Francois6 februari 2002 15:58
"It's not a bug, it's a feature!"

Microsoft doet de laatste tijd veel met HTML (Help/Messenger/Windows Update/etc) en omdat HTML niet de benodigde functionaliteit biedt gaan ze maar wat ActiveX proggen. En dan blijkt opeens dat iedereen dat kan gebruiken! Lekker slim MS |:(
metaal @Francois6 februari 2002 20:51
Tja, fantastisch he, het is een functionaliteit!

Zo zie je maar weer hoe nouw MS het neemt met jouw privacy :(
Verwijderd 6 februari 2002 14:48
hmm, gewoon Trillian gebruiken, daar zit die bug tenminste niet in !

Microsoft heeft die maand bugs oplossen hard nodig...
Verwijderd @Verwijderd6 februari 2002 14:52
Persoonlijk heb ik liever dat Microsoft haar maand 'bug-oplostijd' steekt in het verbeteren van de OS'sen van Microsoft. Daar heeft namelijk iedereen wat aan, messenger is een programma waarbij je zelf mag beslissen of je het gebruikt.
Verwijderd @Verwijderd6 februari 2002 15:22
Persoonlijk heb ik liever dat Microsoft haar maand 'bug-oplostijd' steekt in het verbeteren van de OS'sen van Microsoft. Daar heeft namelijk iedereen wat aan, messenger is een programma waarbij jezelf mag beslissen of je het gebruikt.

Gelukkig mag je bij de OSen van Microsoft ook zelf beslissen of je het gebruikt. }-]
Verwijderd @Verwijderd6 februari 2002 15:46
Heel blij ben ik daarom! Ik draai FreeBSD.
Toch wil ik contact hebben met vrienden die wel windoos gebruiken en MSN, dus gebruik ik de client: gaim! Echt een heel fijn tooltje!
DeuTeRiuM @Verwijderd6 februari 2002 17:21
Gaim is echt zwaar mislukt hoor ;)
Maar toch gebruik ik het zelf ook :D
MSN Messenger zelf ook, daar niet van..

't Lijkt mij het beste om een ander messenger programma te installeren. Trillian schijnt goed te zijn. Ben je ook van dat logge ICQ af..
blouweKip @Verwijderd6 februari 2002 15:43
Helaas is dat niet zow :(
HielkeJ @Verwijderd6 februari 2002 14:54
Dat is niet waar, MSN zit standaard in windows :(
oke niet iedereen heeft er mensen instaan maar toch
Verwijderd @HielkeJ6 februari 2002 15:43
fout, je kunt het gewoon verwijderen hoor
doubleduh @Verwijderd6 februari 2002 17:09
volgens mij moet je messenger nu ook al gebruiken om remote assistance te gebruiken in xp... ;(
Sharad R @Verwijderd7 februari 2002 02:50
Maar dan zou M$ alleen osen uitkunnen brengen..

msn is een product van hun, en dat behoort in feite gewoon foutloos te functioneren...zoveel mogelijk dan....
BadRespawn @Verwijderd6 februari 2002 14:56
ja die beslissing mag je nemen nadat het is geinstalleerd
Access @Verwijderd6 februari 2002 16:28
hmm, gewoon Trillian gebruiken, daar zit die bug tenminste niet in !
Volgens mij zitten in trillian wel andere bugs die misschien wel iets soortgelijks kunnen doen. (ik gebruik trillian ook, maar het boeit me niet echt).
Verwijderd 6 februari 2002 15:20
Ik denk dat MS beter wat meer tijd in hun software kan steken om het goed in elkaar te zetten zonder al die bugs en dat het dan wat later op de markt komt is dan wel een nadeel maar het zal dan naar mijn mening een heleboel negatieve publiciteit schelen en een heleboel bugfixxes.
RobT @Verwijderd6 februari 2002 17:44
Ergens zou dat mooi zijn, maar dan begrijp je de doelstellingen niet van MS:
geld verdienen, door marktaandeel te vergroten en vast te houden.

M$ heeft er helemaal geen belang bij het perfecte OS op de markt te zetten. Dat verkoop je namelijk maar 1x. Ze hebben er wel alle belang bij producten op de markt te zetten die aansporen tot aankoop van verwante en opvolgende producten.
Dus prima strategie.

[goedkoop modus] Doet eigenlijk wel denken aan drugsdealers, eerst gratis en later kost het je meer dan je lief is, maar dan kan je niet meer terug... ;)
[/goedkoop modus]

De enige reden dat MS nu opeens over bugs (bunny :?) begint, en security, is dat Linux op die punten redelijk goed scoort, en elke persoon die overstapt op linux is een potentiele ex-M$ klant, en dat mag niet.
Met andere woorden, bugs en security is geen hot item voor MS, maar de eventuele verliezen daardoor wel. En daarom doen ze er wat aan.

Eerst was het: features en gebruiksvriendelijkheid, dus stellingname tov Apple. Maar dat blijkt geen grote 'vijand' te zijn, die hebben hun eigen klantenkring, en lijken niet echt uit te breiden.
Linux wel, vandaar.
Verwijderd @RobT6 februari 2002 18:41
M$ heeft er helemaal geen belang bij het perfecte OS op de markt te zetten. Dat verkoop je namelijk maar 1x.
Vooral dat M$ is origineel hoor, grote jongen...
MS heeft het i.i.g. wel belang bij het meest perfecte OS van het moment op de markt te zetten. Dan mag je zelf kiezen in welk opzicht perfect natuurlijk... gebruiksvriendelijkheid / security??
GiLuX 6 februari 2002 14:54
als je net van die site die regfile in registry hebt gedumpt,
vergeet die dan niet die er meteen weer uittepeuteren met regedit!!
Verwijderd 6 februari 2002 15:06
oplossing:

Als de 'veilig gemarkeerde ActiveX-besturingselementen' uit worden gezet dan werkt de code niet meer. Deze elementen zijn standaard ingeschakeld, maar kunnen worden uitgezet door te klikken op: extra, internet-opties, beveiliging, aangepast niveau voor internet.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq