Четверг, 21 января, 16:27
дома безопасность Microsoft исправляет ошибку на сайте Xbox

Microsoft исправляет ошибку на сайте Xbox

Microsoft исправила ошибку на веб-сайте Xbox, которая могла позволить некоторым хакерам связывать теги игроков Xbox (имена пользователей) с фактическими электронными письмами пользователей.

Об уязвимости было сообщено в Microsoft через недавно установленную программу вознаграждения за ошибки. Джозеф Харрис - один из нескольких исследователей безопасности, которые сообщили об этом Microsoft и поделился своими выводами с ZDNet ранее на этой неделе.

Xbox

Исследователь службы безопасности сообщил, что ошибка была обнаружена на сайтеforcement.xbox.com, Веб-портал куда пользователи Xbox переходят, чтобы просмотреть предупреждения своего профиля Xbox и отправить возражение, если они считают, что их несправедливо критиковали за поведение в сети Xbox.

После входа пользователей на этот сайт веб-сайт Xbox Enforcement создает в своем браузере «файл cookie» с подробной информацией об их веб-сеансе, поэтому им не придется его повторять. идентификация в следующий раз они снова зайдут на сайт.

Харрис сказал, что "файл cookie" этого портала содержит поле идентификатора пользователя Xbox (XUID), которое не было зашифрованная.

Используя инструменты, включенные во все современные браузеры, Харрис отредактировал поле XUID и замените его на XUID тестовой учетной записи, созданной и используемой для тесты в рамках программы поощрения ошибок Xbox.

В прошлом месяце Microsoft разработала исправление для этой ошибки. «Решением было зашифровать XUID», - сказал Харрис.

Ремонт был разработан им. сервер и «нет дополнительных шагов, которые пользователи оставаться защищенныйОб этом во вторник сообщил представитель Microsoft по электронной почте. Харрис сказал, что другие поддомены Xbox не имеют такой проблемы.

Аналитик по безопасности, работающий в Microsoft Security Response Center, сказал, что ошибка не покрывалась премией Xbox, но компания согласилась включить Харриса в Зал славы Bug Bounty как партнер.

Хотя Microsoft не сочла, что эта ошибка стоит своих денег - потому что ее нельзя использовать для посягательства на Xbox, - ошибка могла позволить угрожающие факторы чтобы связать любой «тег игрока Xbox» с фактическим адресом электронной почты игрока.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Байден: Как политический переход в США был отражен в социальных сетях?

Когда Джо Байден был приведен к присяге в качестве президента Соединенных Штатов, этот важный политический переход был запечатлен в популярных социальных сетях. 20 января ...

CentOS перестает поддерживаться, но RHEL предлагается бесплатно

В прошлом месяце Red Hat вызвала большое беспокойство в мире Linux, объявив о прекращении поддержки CentOS Linux.

Пароли сотрудников Microsoft Office 365 просочились в сеть!

Было обнаружено, что новая крупномасштабная фишинговая кампания, нацеленная на глобальные организации, позволяет обойти Microsoft Office 365 Advanced Threat Protection (ATP) и ...

COSMOTE и Microsoft предоставляют новые облачные решения для бизнеса

COSMOTE и Microsoft расширяют свое сотрудничество, предлагая еще более продвинутые и высококачественные облачные решения для больших и малых ...

Кибератаки в Восточной Европе растут!

Кибератаки, которые произошли во многих правительственных учреждениях и компаниях США в последние месяцы, вызвали обеспокоенность в развивающихся странах ...

Tesla снижает цены на Model 3 в Европе

Tesla снизила цены на Model 3 на многих европейских рынках, что частично может быть связано с ...

Пользователи iOS, Android и XBox под прицелом новой рекламной кампании

Недавно была обнаружена новая кампания вредоносной рекламы, нацеленная на пользователей мобильных и других подключенных устройств и использующая эффективные ...

Microsoft: «нулевое доверие» защищает от изощренных хакерских атак

Согласно Microsoft, методы, использованные хакерами SolarWinds, были сложными, но распространенными и предотвратимыми. Чтобы избежать атак в будущем ...

США: Twitter блокирует аккаунт посольства Китая из-за «дегуманизации»

Твиттер заявил, что заблокировал аккаунт посольства Китая в США за твит о его женщинах ...

Жертвы программ-вымогателей платят выкуп, чтобы предотвратить утечку их данных

Хранение резервных копий очень важно, особенно в случае атак программ-вымогателей. Однако похоже, что хакеры используют новые методы, с ...