Microsoft修复了Xbox网站上的一个漏洞,攻击者可利用该漏洞将Xbox玩家标签(用户名)链接到用户的真实电子邮件地址。
该漏洞是通过Microsoft最近推出的Xbox漏洞奖励计划报告给该公司的。
发现该漏洞的安全研究员Joseph“Doc”Harris称,该漏洞位于enforcement.xbox.com,Xbox用户可以在该门户网站上查看针对其Xbox个人资料的攻击,如果他们觉得自己在Xbox网络上的行为受到了不公平的谴责,可以提出申诉。
用户登录该网站后,Xbox Enforcement网站会在其浏览器中创建一个cookie文件,其中包含有关web会话的详细信息,因此用户下次再次访问该网站时,无需重新进行身份验证。
Harris称,该门户网站的cookie文件包含一个未加密的Xbox用户ID(XUID)字段。
Harris使用所有现代浏览器中包含的工具,编辑了该XUID字段,并将其替换为他创建的测试帐户的XUID。
Harris在接受媒体采访时说:“我试图替换cookie值,然后刷新,突然间我就可以看到其他用户的电子邮件了。”
上个月,Microsoft为该漏洞部署了一个补丁。Harris称,该补丁通过加密XUID修复了漏洞。
Microsoft的一位发言人表示,该补丁是在服务器端部署的,用户不需要采取额外的措施来保持受保护状态。
Harris表示,其他Xbox子域未受到同样问题的困扰。
Microsoft安全响应中心的一位安全分析人员表示,该漏洞不在Xbox漏洞奖励计划的涵盖范围内,但该公司同意将Harris作为贡献者,放在其漏洞奖励名人堂中。
尽管Microsoft没有将该漏洞归类为值得金钱奖励,因为该漏洞不能用来劫持Xbox,但该漏洞可以让攻击者将任何Xbox玩家标签链接到玩家的真实电子邮件地址。
将电子邮件帐户与游戏玩家的真实.身份联系起来已经导致了许多骚扰事件,而如今,借助于网上公开的大量OpSec工具,即使是从最小量的个人信息中,也可以在不同的在线配置文件之间建立联系。
———————————————————————————————————–
作者:Catalin Cimpanu
来源:ZDNet
编译:猫冬
来源:freebuf.com 2020-11-30 14:39:51 by: 偶然路过的围观群众
请登录后发表评论
注册