Microsoft исправила ошибку на веб-сайте Xbox, которая могла позволить некоторым хакерам связывать теги игроков Xbox (имена пользователей) с фактическими электронными письмами пользователей.
Об уязвимости было сообщено в Microsoft через недавно установленную программу вознаграждения за ошибки. Джозеф Харрис - один из нескольких исследователей безопасности, которые сообщили об этом Microsoft и поделился своими выводами с ZDNet ранее на этой неделе.
Исследователь службы безопасности сообщил, что ошибка была обнаружена на сайтеforcement.xbox.com, Веб-портал куда пользователи Xbox переходят, чтобы просмотреть предупреждения своего профиля Xbox и отправить возражение, если они считают, что их несправедливо критиковали за поведение в сети Xbox.
После входа пользователей на этот сайт веб-сайт Xbox Enforcement создает в своем браузере «файл cookie» с подробной информацией об их веб-сеансе, поэтому им не придется его повторять. идентификация в следующий раз они снова зайдут на сайт.
Харрис сказал, что "файл cookie" этого портала содержит поле идентификатора пользователя Xbox (XUID), которое не было зашифрованная.
Используя инструменты, включенные во все современные браузеры, Харрис отредактировал поле XUID и замените его на XUID тестовой учетной записи, созданной и используемой для тесты в рамках программы поощрения ошибок Xbox.
В прошлом месяце Microsoft разработала исправление для этой ошибки. «Решением было зашифровать XUID», - сказал Харрис.
Ремонт был разработан им. сервер и «нет дополнительных шагов, которые пользователи оставаться защищенныйОб этом во вторник сообщил представитель Microsoft по электронной почте. Харрис сказал, что другие поддомены Xbox не имеют такой проблемы.
Аналитик по безопасности, работающий в Microsoft Security Response Center, сказал, что ошибка не покрывалась премией Xbox, но компания согласилась включить Харриса в Зал славы Bug Bounty как партнер.
Хотя Microsoft не сочла, что эта ошибка стоит своих денег - потому что ее нельзя использовать для посягательства на Xbox, - ошибка могла позволить угрожающие факторы чтобы связать любой «тег игрока Xbox» с фактическим адресом электронной почты игрока.
Greek
Chinese (Simplified)
English
Greek
Russian