Web

Microsoft beseitigt schwerwiegenden Passport-Fehler

08.05.2003

MÜNCHEN (COMPUTERWOCHE) - Ausgesprochen schnell hat Microsoft auf die Entdeckung eines Sicherheitslecks in seinem Web-SSO-Dienst (Single Sign-On) "Passport" reagiert. Ein pakistanischer Sicherheitsexperte hatte in der "Full-Disclosure"-Mailinglist berichtet, über eine manipulierte URL lasse sich aufgrund eines Fehlers in der Logik der Web-Anwendung das Passwort jedes Accounts ändern, für den der Benutzername bekannt sei. Dreieinhalb Stunden später hatte der Softwarekonzern die fehlerhafte Password-Recovery-Funktion deaktiviert. Unklar ist derzeit noch, ob alle Passport-Konten von dem Problem betroffen waren oder nur ein Teil. Verschiedene Experten konnten den Fehler nachvollziehen, bei anderen funktionierte die beschriebene Technik nicht. (tc)