您现在的位置是: 首页 > 多点频道 > 多点新闻 >

微软修复了Xbox暴露用户个人数据的错误

微软修复了Xbox网站上的一个错误,该错误可能允许威胁参与者将Xbox游戏玩家标签(用户名)链接到用户的实际电子邮件地址。

该漏洞是通过该公司最近启动的Xbox Bug赏金计划报告给Microsoft的。今年向微软报告了该问题的几名安全研究人员之一约瑟夫“博士”哈里斯本周初与ZDNet分享了他的发现。

微软修复了Xbox暴露用户个人数据的错误

这位安全研究人员说,该漏洞被追溯到execution.xbox.com,Xbox用户可以通过该门户网站查看针对其Xbox配置文件的罢工,并提出上诉,如果他们认为自己在Xbox网络上的行为受到不公正的谴责。

用户登录到该网站后,Xbox应用程序站点将在其浏览器中创建一个cookie文件,其中包含有关其Web会话的详细信息,因此下次他们再次访问该站点时,不必重新进行身份验证。

微软修复了Xbox暴露用户个人数据的错误

哈里斯说,此门户网站包含的cookie文件包含未加密的Xbox用户ID(XUID)字段。哈里斯使用所有现代浏览器中包含的工具,编辑了XUID字段,并将其替换为他创建的测试帐户的XUID,该帐户已作为Xbox Bug赏金计划的一部分进行了测试。

哈里斯在本周的一次采访中告诉ZDNet:“我试图覆盖cookie值并进行更新,突然间我可以看到其他[用户]的电子邮件。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
Top