20年历史的bug被发现会泄漏微软 Live 账号登录信息

1997年发现的微软自动认证漏洞从来没有修复过,现在研究人员发现该漏洞能在Windows 8和Windows 10下被利用泄漏微软 Live 账号的登录信息。漏洞会曝光用户的登录名和密码的NTLMv2哈希值,而在GPU加速之下破解哈希密码不再变得困难。

要触发这个漏洞,攻击者需要设置一个网络共享,然后诱骗受害者访问任何共享IP,比如在受害者访问的网站上嵌入指向共享IP的图像。当用户使用微软的产品尝试访问该链接时它会向其发送微软的账号。安全研究人员建议不要使用微软的浏览器或邮件客户端访问网络共享。Windows 用户可以通过 IE 或 Edge 访问这个Demo了解自己的系统是否存在该漏洞,Chrome 和Firefox 不受影响。

====================================分割线================================

本文转自d1net(转载)

时间: 2024-09-28 09:53:31

20年历史的bug被发现会泄漏微软 Live 账号登录信息的相关文章

LZO 压缩算法发现了一个有20年历史的 bug

Lempel-Ziv-Oberhumer(LZO)是一个无损数据压缩算法,最初写于1984年.因算法出色的速度和效率,LZO得到了广泛使用,包含 在OpenVPN.MPlayer2.Libav.FFmpeg.Linux kernel,甚至是火星漫游车好奇号等项目中.Lab Mouse Security的嵌入式系统安全专家Don Bailey在官方博客上宣称在LZO及其变种LZ4中发现了一个有20年历史的整数溢出bug,可被攻击者用于远程执行代码.法国压缩算法研究员 Yann Collet 认为D

梅耶尔难挡雅虎巨轮沉没,20年历史见证互联网变迁

雅虎(Yahoo!)的名字中有"先谕"(O代表Oracle,神谕.先知的意思)的含义,但或许连它自己也没能预见自己的结局. 7月25日,美国通信运营商Verizon通信确认,将以48.3亿美元收购雅虎的互联网资产,收购后雅虎将被整合入Verizon旗下的美国在线.这意味着这家互联网公司鼻祖20多年的故事即将落幕. 雅虎的前十年一直扮演着互联网先驱的角色,后十年则是一名追赶者,并且被领先者越甩越远.在移动互联网时代,曾经盛极一时的雅虎茫然四顾,竟寻不到自己的立身之处. 回过头来看,雅虎似

PowerPoint 20年历史回顾

1987年PowerPoint正式与用户见面,PPT格式是微软件的办公软件PowerPoint编辑后保存的文件格式,也叫演示文档PPT(Power Point)+电脑+投影仪,替代了传统的胶片和幻灯. PPT已经成为了演示文档的标准之一,在商业领域和教育领域发挥了重要的作用,我们一起来回顾一下PowerPoint的历史吧! Microsoft PowerPoint 2.0 Microsoft PowerPoint 2.0, demo, Macintosh edition Microsoft Po

Win10 幸免!旧版漏洞 Bug 被发现可致 Win7“崩溃”

安全人员最近发现Windows 7和8.1有一个文件名bug,某些不良文件名使系统锁定或蓝屏死机,恶意网页可以通过使用它们作为图像源来嵌入这些文件名.如果用户使用任何浏览器访问这样的网页,电脑不久就会死机,甚至会可能会直接崩溃. Windows 9x时代,操作系统就存在处理特殊文件名的bug, Windows有许多文件名是"特殊的",因为它们不代表任何实际的文件,仅仅代表硬件设备.这些特殊文件名可以从文件系统中的任何位置访问,即使它们不存在于磁盘上. Windows系统正确处理了访问c

将近 20 年历史的 Intel IDF 开发者峰会被彻底取消

Intel刚刚发布了一条令人震惊的消息,突然宣布从此将不再举办IDF(Intel开发者峰会),原定今年夏天的IDF17就此取消. Intel在一份简短声明中表示:"Intel调整了活动安排,决定从此停办IDF.感谢您与IDF相伴近20年!" Intel此前曾表示,今年不会在中国举办IDF分会,而在旧金山的IDF会有新的方式. Intel IDF可以说是这家科技巨头最大规模的盛会,每年都能给开发者.合作伙伴.用户带来大量新科技.新产品,比如最近的Skylake/Kaby Lake处理器.

ecshop中导致网站信息泄漏(数据库默认账户信息)解决方法

洞标题: ecshop数据库默认账户信息,导致网站信息泄漏 相关厂商: ShopEx漏洞作者: 小机 提交时间: 2012-05-28 公开时间: 2012-07-12 漏洞类型: 账户体系控制不严危害等级: 低自评Rank: 1 漏洞状态: 厂商已经确认 漏洞来源: http://www.wooyun.org ecshop在默认安装的时候,安装程序会添加两个管理员账户,虽然管理员账户没有操作权限,但是通过这两个账户还是可以看到网站的订单数据.详细说明:ecshop在默认安装的时候,安装程序会添

HTTPS 漏洞泄漏微软账户个人信息

HTTPS连接通常可以为用户带来一定程度的私密性和安全性,但是据透露,当用户使用HTTPS连接到他们的微软用户帐户页面Outlook.com或者OneDrive.com的时候,连接泄漏了唯一标识,可用于检索用户姓名和个人资料照片明文. 该漏洞最早发现由北京一位博主发现,然后由Ars Technica测试确认.他们表示,捕获连接Outlook.com 或者OneDrive.com Windows帐户页面的数据包,可以显示主机对DNS查询请求,格式为cid- [用户的CID] .users.stor

Windows 8.1 Update问题汇总

  0x80070002和0x80070003错误 使用疑难解答 微软在4月向Win8.1用户推送了Win8.1 Update更新,但许多用户在升级本次Update过程并不顺利,过程中都遇到了0x80070002和0x80070003错误,最终导致更新安装失败.实际上出现这个错误的原因是因为遇到Windows Update更新过程中文件缺失. 针对这个普遍存在的问题,微软面向32位和64位Win8.1平台发布了1个2.3MB/2.6MB的修复补丁,从而升级了Win8.1系统维护工具"疑难解答&q

关于那些不能顺利修复的bug

多年的测试经验中,经常发现有这么一种现象:总有些提了的bug不能顺利的被修复.这些bug往往有4个走向: 1.在被发现的版本中最终被解决,但中途花费较多周折. 2.有计划的在后续的版本中被解决. 3.决定永远不修复,却变成潜在的炸弹,在后续版本中被迫修复. 4.决定永远不修复,至今为止也一直没有被修复. 近期对我们做过的项目做过一次较大的统计,统计严重程度中等及以上的缺陷,这四种走向第一种占到了50%左右,第二.三种各占20%,最后一种约占了10%. 这些没有被修改的bug带来的负面影响有: 1