Sicherheitsloch in Passport gestopft

Die Schwachstelle befand sich in einer Funktion, über die sich Anwender via einer geheimen Frage vergessene Passwörter wiederbeschaffen konnten. Nach Angaben des Sicherheitsberaters Manuel Alavarez Castro waren Nutzerkonten betroffen, die eingerichtet wurden, bevor Microsoft die Funktion im August 1999 implementierte. Sie enthielten im entsprechenden Datenfeld Code, über den sich Hacker das Passwort zusenden lassen konnten, ohne die Frage zu kennen. Dazu mussten sie neben der Mail-Adresse allerdings weitere Anmeldedaten des zu knackenden Accounts ausspionieren.

Wie viele Anwender betroffen waren, gab Microsoft nicht bekannt. Nachdem die Fragefunktion zeitweise deaktiviert wurde, hat der Hersteller nun einen Patch eingespielt, der das Leck beheben soll. Jeff Jones, Senior Director der Trustworthy-Computing-Abteilung bei Microsoft, empfiehlt Passport-Benutzern darüber hinaus, eine gültige Frage einzugeben und das Passwort zu ändern. Gleichzeitig kritisierte Jones den bisher unbekannten Sicherheitsexperten Castro, weil dieser die Sicherheitslücke ohne vorherige Verständigung von Microsoft in verschiedenen Security-Newsgroups veröffentlicht habe.