Xbox Live漏洞允许黑客查看任何用户的电子邮件地址

 中国邮箱网  0条评论  2734次浏览  2020年12月02日 星期三 10:50

分享到: 更多
中国邮箱网讯 12月2日消息 据报道,Xbox Live中存在严重漏洞,黑客可以看到使用该服务的任何人的电子邮件ID。这是根据多位声称发现漏洞并将其报告给微软的网络安全研究人员所说的。此漏洞此后已在服务器端进行了修补,Microsoft已发布声明说,用户不必自己采取任何措施来缓解此问题。

向微软报告该问题的研究人员之一是约瑟夫·文档·哈里斯(Joseph'Doc'Harris),他告诉ZDNet该错误位于'enforcement.xbox.com'域上,该错误使Xbox用户可以查看针对其Xbox个人资料的罢工和文件申诉如果他们觉得自己受到不公正的谴责。

根据Harris的说法,门户网站的Cookie包含未加密的Xbox用户ID(XUID)字段,从而使黑客可以通过将XUID cookie值替换为他为测试目的而创建的测试帐户的XUID来查看其他用户的电子邮件。作为Xbox Bug赏金计划的一部分。“本来试图替换cookie值并刷新,突然间我能够看到其他(用户)电子邮件”,他显然在本周初的一次采访中告诉博客。

如前所述,Microsoft已推出了一个加密XUID的补丁。该公司在一份正式声明中表示,“已发布更新以帮助保护客户”。但是,该bug并未包含在Xbox bug赏金计划中,这意味着Harris并未为自己的研究获得任何经济回报,尽管微软已同意将其列为Bug赏金名人堂的贡献者。

文章来源:毒科技的时光机

标签:live电子邮件地址Xbox漏洞

我的评论:

请  后发表评论。