漏洞信息详情

MSN Messenger CryptUnprotectData程序原始密码获取漏洞

• CNNVD编号：CNNVD-200601-278
• 危害等级： 低危
  
• CVE编号： CVE-2006-0363
• 漏洞类型： 未知
• 发布时间： 2006-01-22
• 威胁类型： 本地
• 更新时间： 2006-01-24
• 厂        商： microsoft
• 漏洞来源：

漏洞简介

MSN Messenger 7.5中的\"记住我的密码\"功能，将密码以加密格式存储在HKEY_CURRENT_USER＼Software＼Microsoft＼IdentityCRL＼Creds注册表键中，这可能让本地用户通过调用CryptUnprotectData的程序获取原始密码，如\"MSN Password Recovery.exe\"程序所示。注意：可能有争议称，仅本地密码恢复是固有的不安全问题，因为解密方法和密钥必须存储在本地系统上的某个位置中，所以原本就是通过不同程度的努力即可访问这些数据的。可能此问题不应包含在CVE中。

漏洞公告

参考网址

来源: BUGTRAQ

名称: 20060117 Re: MSN Messenger Password Decrypter for WinXP/2003

链接:http://www.securityfocus.com/archive/1/archive/1/422283/100/0/threaded

来源: BUGTRAQ

名称: 20060113 Re: MSN Messenger Password Decrypter for WinXP/2003

链接:http://www.securityfocus.com/archive/1/archive/1/421921/100/0/threaded

来源: MISC

链接:http://www.msn-password-recovery.com/

受影响实体

• Microsoft Msn_messenger:7.5  

补丁

暂无