يمكن أن يستخدم الماسنجر للحصول على معلومات شخصية حول مستخدميه بمجرد دخولهم لصفحة ملغمة .
ويمكن الحصول على اسم مستخدم الماسنجر باستخدام لغة JavaScript بالإضافة إلى جميع المضافين إليه ، وبالنسبة للذين يدخلون الماسنجر بدون اسم ربما يشكل خطراً على خصوصيتهم ( ملاحظة : الذين يدخلون الماسنجر بدون اسم سيؤدي ذلك إلى كشف عنوانهم البريدي )
وباستخدام نفس التقنية ، يمكن لبعض المواقع المستضافة لدى أسماء معينة مثل ( microsoft.com, hotmail.com و hotmail.msn.com ) دخول بريد المستخدم ( بالإضافة إلى جميع عناوين المضافين وجهات الاتصال ) وربما تستخدمه ميكروسوفت لتعقب مستخدميها في مواقعها ، وهذا ما يعتبره الكثيرون انتهاكاً للخصوصية .
بالإضافة إلى المواقع المذكورة أعلاه ، فإن الثغرة تسمح لمواقع أخرى بالدخول إلى بريد المستخدم باستخدام أحد مدخلات الريجيستري . ويتم صنع هذا المدخل سواء من أحد البرامج التجسسية Spyware أو البرامج الداعائية Adware المحملة من قبل المستخدم ( وأحياناً يتم ذلك من غير علمك بسبب استخدامك لأحد البرامج التجريبية ) حينئذٍ تصبح معرضاً لأن تعطي بريدك الإلكتروني لأي موقع يطلبه منك ثم يتم وضعه داخل ملف كوكي .
تؤثر هذه الثغرة على كل من :
• MSN Messenger 4.6.0073 على جهاز يعمل على نظام Windows 2000 ومتصفح إكسبلورر الإصدار السادس .
• Windows Messenger 4.60073 على جهاز يعمل على نظام Windows XP ومتصفح إكسبلورر الإصدار السادس .
• ربما يشمل باقي الإصدارات والأنظمة أيضاً .
الثغرة من الجانب الفني :
قامت ميكروسوفت بتصميم الماسنجر ليصبح استخدامه في صفحات الويب بشكل وظيفي باستخدام كل من JavaScript و VBScript . وهذا يشمل القدرة على عرض الاسم والبريد الإلكتروني للمستخدم وكذلك جهات الاتصال . كمحاولة لحماية المستخدمين فإنه يمكن فقط استخدام خيارات معينة في بعض المواقع التي تستخدم سكريبت للحصول على عناوين البريد الإلكتروني ، لكن كل ما يمكن أن يحصلوا عليه هو الاسم أو اللقب لمستخدمي الماسنجر .
يمكنك مشاهدة قائمة من المواقع التي بمقدورها الدخول والتحكم الكامل بوظائف الماسنجر الخاص بك ( عناوين البريد الإلكتروني و أشياء أخرى ) على مفتاح الريجيستري التالي :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \MessengerService\Policies\Suffixes
إن القيم "Suffix0" ، "Suffix1" ، إلخ... لا يوجد بداخلها مدخلات بشكل افتراضي ، لكن من الممكن إضافة مدخلات إليها . على سبيل المثال . عند إضافة المدخل "test.com" للقيمة Suffix0 فإن هذا سيعطي الموقع test.com إمكانية الوصول إلى كامل معلومات الماسنجر .
لا يشترط تحديد اسم الموقع كاملاً في القائمة ، فعند إضافة المدخل "com" فإن هذا سوف يسمح لجميع المواقع المنتهية بـ com. بالوصول الكامل إلى الماسنجر .
بالرغم من ذلك فإنه بشكل افتراضي لا يوجد مدخلات ضمن القائمة ، إن المواقع الثلاثة المذكورة بالأعلى مدونة بالماسنجر بشكل صعب لنفس الغرض ، وهذا ما يجعل المواقع التابعة لشركة ميكروسوفت ( مثل هوتميل ) تبدو جذابة وذلك بربط مميزات الماسنجر بتلك المواقع ، وهنا فإن المستخدم لا يمكنه إزالة زاوية حالة الماسنجر الموجود في تلك المواقع .
الطريقة الوحيدة أمام المستخدم لكي يمنع تلك المواقع من الوصول إلى معلوماته هو تسجيل الخروج من الماسنجر قبل فتحه لتلك المواقع .
انظر إلى مصدر الصفحة المدونة أدناه كمثال لمعرفة الطريقة .
الصفحة التجريبية
لقد قمنا هنا بوضع صفحة بسيطة كمثال لتوضيح المشكلة :
raburton.members.easyspace.com/msn/
سوف يتم الكشف عن لقبك وعن جميع ألقاب جهات الاتصال في القائمة . إذا قمت بإضافة مدخل الريجيستري المذكور أعلاه فإنه سيتم الكشف عن عنوان بريدك الإلكتروني بالإضافة إلى عناوين جهات الاتصال الخاصة بك .
بعض النصائح لتفادي هذه الثغرة
• سارع بجلب التحديث الأخير للماسنجر المحصن من هذه الثغرة والذي لا يسمح لطرف ثالث من الحصول على معلومات حول ماسنجرك ،يمكنك الحصول عليه من هنا
• سارع بترقيع الثغرة الأمنية لمتصفح إكسبلورر من هنا
• ضع لقباً خاصاً بك لكي لا يتم الكشف عن بريدك الإلكتروني بسهولة .
• افحص المدخلات التالية بشكل منتظم
HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftMessengerServ
ice\Policies\Suffixes
خصوصاً بعد تحميلك لأحد البرامج المجانية أو التجريبية .
منقول
ويمكن الحصول على اسم مستخدم الماسنجر باستخدام لغة JavaScript بالإضافة إلى جميع المضافين إليه ، وبالنسبة للذين يدخلون الماسنجر بدون اسم ربما يشكل خطراً على خصوصيتهم ( ملاحظة : الذين يدخلون الماسنجر بدون اسم سيؤدي ذلك إلى كشف عنوانهم البريدي )
وباستخدام نفس التقنية ، يمكن لبعض المواقع المستضافة لدى أسماء معينة مثل ( microsoft.com, hotmail.com و hotmail.msn.com ) دخول بريد المستخدم ( بالإضافة إلى جميع عناوين المضافين وجهات الاتصال ) وربما تستخدمه ميكروسوفت لتعقب مستخدميها في مواقعها ، وهذا ما يعتبره الكثيرون انتهاكاً للخصوصية .
بالإضافة إلى المواقع المذكورة أعلاه ، فإن الثغرة تسمح لمواقع أخرى بالدخول إلى بريد المستخدم باستخدام أحد مدخلات الريجيستري . ويتم صنع هذا المدخل سواء من أحد البرامج التجسسية Spyware أو البرامج الداعائية Adware المحملة من قبل المستخدم ( وأحياناً يتم ذلك من غير علمك بسبب استخدامك لأحد البرامج التجريبية ) حينئذٍ تصبح معرضاً لأن تعطي بريدك الإلكتروني لأي موقع يطلبه منك ثم يتم وضعه داخل ملف كوكي .
تؤثر هذه الثغرة على كل من :
• MSN Messenger 4.6.0073 على جهاز يعمل على نظام Windows 2000 ومتصفح إكسبلورر الإصدار السادس .
• Windows Messenger 4.60073 على جهاز يعمل على نظام Windows XP ومتصفح إكسبلورر الإصدار السادس .
• ربما يشمل باقي الإصدارات والأنظمة أيضاً .
الثغرة من الجانب الفني :
قامت ميكروسوفت بتصميم الماسنجر ليصبح استخدامه في صفحات الويب بشكل وظيفي باستخدام كل من JavaScript و VBScript . وهذا يشمل القدرة على عرض الاسم والبريد الإلكتروني للمستخدم وكذلك جهات الاتصال . كمحاولة لحماية المستخدمين فإنه يمكن فقط استخدام خيارات معينة في بعض المواقع التي تستخدم سكريبت للحصول على عناوين البريد الإلكتروني ، لكن كل ما يمكن أن يحصلوا عليه هو الاسم أو اللقب لمستخدمي الماسنجر .
يمكنك مشاهدة قائمة من المواقع التي بمقدورها الدخول والتحكم الكامل بوظائف الماسنجر الخاص بك ( عناوين البريد الإلكتروني و أشياء أخرى ) على مفتاح الريجيستري التالي :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \MessengerService\Policies\Suffixes
إن القيم "Suffix0" ، "Suffix1" ، إلخ... لا يوجد بداخلها مدخلات بشكل افتراضي ، لكن من الممكن إضافة مدخلات إليها . على سبيل المثال . عند إضافة المدخل "test.com" للقيمة Suffix0 فإن هذا سيعطي الموقع test.com إمكانية الوصول إلى كامل معلومات الماسنجر .
لا يشترط تحديد اسم الموقع كاملاً في القائمة ، فعند إضافة المدخل "com" فإن هذا سوف يسمح لجميع المواقع المنتهية بـ com. بالوصول الكامل إلى الماسنجر .
بالرغم من ذلك فإنه بشكل افتراضي لا يوجد مدخلات ضمن القائمة ، إن المواقع الثلاثة المذكورة بالأعلى مدونة بالماسنجر بشكل صعب لنفس الغرض ، وهذا ما يجعل المواقع التابعة لشركة ميكروسوفت ( مثل هوتميل ) تبدو جذابة وذلك بربط مميزات الماسنجر بتلك المواقع ، وهنا فإن المستخدم لا يمكنه إزالة زاوية حالة الماسنجر الموجود في تلك المواقع .
الطريقة الوحيدة أمام المستخدم لكي يمنع تلك المواقع من الوصول إلى معلوماته هو تسجيل الخروج من الماسنجر قبل فتحه لتلك المواقع .
انظر إلى مصدر الصفحة المدونة أدناه كمثال لمعرفة الطريقة .
الصفحة التجريبية
لقد قمنا هنا بوضع صفحة بسيطة كمثال لتوضيح المشكلة :
raburton.members.easyspace.com/msn/
سوف يتم الكشف عن لقبك وعن جميع ألقاب جهات الاتصال في القائمة . إذا قمت بإضافة مدخل الريجيستري المذكور أعلاه فإنه سيتم الكشف عن عنوان بريدك الإلكتروني بالإضافة إلى عناوين جهات الاتصال الخاصة بك .
بعض النصائح لتفادي هذه الثغرة
• سارع بجلب التحديث الأخير للماسنجر المحصن من هذه الثغرة والذي لا يسمح لطرف ثالث من الحصول على معلومات حول ماسنجرك ،يمكنك الحصول عليه من هنا
• سارع بترقيع الثغرة الأمنية لمتصفح إكسبلورر من هنا
• ضع لقباً خاصاً بك لكي لا يتم الكشف عن بريدك الإلكتروني بسهولة .
• افحص المدخلات التالية بشكل منتظم
HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftMessengerServ
ice\Policies\Suffixes
خصوصاً بعد تحميلك لأحد البرامج المجانية أو التجريبية .
منقول
: 
: 
: