Alvorlig sikkerhedsfejl fundet i Xbox Live

xbox life
En alvorlig sårbarhed i Xbox Live tillod angiveligt, at hackere kunne se e-mail-id'et for alle, der brugte tjenesten. Dette ifølge flere cybersikkerhedsforskere, der hævdede at have opdaget smuthullet og rapporteret det til Microsoft. Sårbarheden er siden blevet patchet på serversiden, og Microsoft har udsendt en erklæring, der lyder på, at brugerne ikke behøver at gøre noget fra deres side for at afbøde problemet.

En af forskerne, der rapporterede problemet til Microsoft, er Joseph ”Doc' Harris”, der fortalte ZDNet, at fejlen var placeret på domænet ”enforcement.xbox.com”, hvilket gør det muligt for Xbox-brugere at se strikes mod deres Xbox-profil og indsende klage. hvis de føler, at de er blevet uretfærdigt irettesat.

Ifølge Harris indeholdt portalens cookies et Xbox-bruger-id (XUID) -felt, der ikke var krypteret, hvilket gjorde det muligt for hackere at se andre brugeres e-mails ved blot at erstatte XUID-cookieværdien med XUID fra en testkonto, han havde oprettet til testformål. som en del af Xbox bug bounty-programmet.

“Tried replacing the cookie value and refreshing, and suddenly I was able to see other (users’) emails”, fortalte han i et interview til ZDNet.

Som allerede nævnt har Microsoft frigivet en patch, der krypterer XUID. I en officiel erklæring sagde virksomheden, at det har “released an update to help protect customers”. Fejlen blev dog ikke dækket af Xbox bug bounty-programmet, hvilket betyder, at Harris ikke høstede nogen økonomisk belønning for sin opdagelse, selvom Microsoft har accepteret at præsentere ham i sin Bug Bounty Hall of Fame som en bidragsyder.

 


Source & Image credit:

ZDNet, Microsoft