多线程下载程序FlashGet 存在信息泄露缺陷

> 　　涉及程序：

　　FlashGet 1.2版及其之前的版本

　　描述：

　　FlashGet存在信息泄露缺陷

　　详细：

　　FlashGet是一款非常流行，功能强大的多线程下载程序。

　　FlashGet程序对用户拨号信息缺乏安全的存储方式，当用户设置FlashGet进行拨号上网时，输入的用户名和密码数据将以明文形式保存在注册表内：

　　[HKEY_USERS/.DEFAULT/Software/JetCar/JetCar/DialUp]

　　"Entry"=""

　　"UserName"=""

　　"Password"=hex:'
　　攻击者利用该缺陷能获得用户的敏感信息。

　　攻击方法：

　　拨号用户名和密码数据将以明文形式保存在注册表内：

　　[HKEY_USERS/.DEFAULT/Software/JetCar/JetCar/DialUp]

　　"Entry"=""

　　"UserName"=""

　　"Password"=hex:'
　　解决方案：

　　目前厂商未公布该缺陷补丁，请用户及时关注厂商站点：http://www.amazesoft.com/

中华安全网

Tags：