一、 漏洞 CVE-2006-0363 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
MSN Messenger 7.5中的“记住我密码”功能在HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\Creds注册表键下以加密格式存储密码,这可能导致本地用户通过调用CryptUnprotectData的程序来获得原始密码,正如“MSN Password Recovery.exe”程序所示。Note:有人认为,仅本地恢复密码是 inherently insecure 的,因为解密方法和键必须存储在本地系统的某个地方,因此在一定程度上,它们是可以被访问的。也许这个问题不应该包含在CVE(通用漏洞披露)中。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The "Remember my Password" feature in MSN Messenger 7.5 stores passwords in an encrypted format under the HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\Creds registry key, which might allow local users to obtain the original passwords via a program that calls CryptUnprotectData, as demonstrated by the "MSN Password Recovery.exe" program. NOTE: it could be argued that local-only password recovery is inherently insecure because the decryption methods and keys must be stored somewhere on the local system, and are thus inherently accessible with varying degrees of effort. Perhaps this issue should not be included in CVE.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
MSN Messenger CryptUnprotectData程序原始密码获取漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
MSN Messenger 7.5中的"记住我的密码"功能,将密码以加密格式存储在HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\Creds注册表键中,这可能让本地用户通过调用CryptUnprotectData的程序获取原始密码,如"MSN Password Recovery.exe"程序所示。注意:可能有争议称,仅本地密码恢复是固有的不安全问题,因为解密方法和密钥必须存储在本地系统上的某个位置中,所以原本就是通过不同程度的努力即可访问这些数据的。可能此
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2006-0363 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2006-0363 的情报信息