×
015-gmail-kalender-och-live-plattor.png
Microsoft har förlorat kontrollen över en viktig underdomän som Windows 8 och Windows-10 använder för att leverera RSS-baserade på nyheter och uppdateringar Live-Plattor –animerade Windows start-meny objekt.
Underdomän (notifications.buildmypinnedsite.com är för närvarande under kontroll av Hanno Böck, en säkerhet forskare och journalist för tyska tech news webbplats Golem.de.
Underdomän som används av webbplatser för att leverera RSS-nyheter
Den underdomän som var en del av buildmypinnedsite.com service som Microsoft ställer upp med lanseringen av Windows 8, och mer specifikt för att tillåta webbplatser att visa live-uppdateringar i användarnas Börja sidor och menyer.
För att dra fördel av denna nya funktion, webbplatser kan lägga till en meta-tagg till deras källkod som accepteras Kanten användare att fästa en webbsida till startsidan i Windows 8 och Start-menyn i Windows-10.
×
windows-live-plattor-kant-menyn.png
På klientsidan, när en Windows-användare öppnade Start-sidan)/meny, deras dator skulle läsa den meta-tagg på önskad plats och sedan ladda innehållet i live-plattor.
Men eftersom Windows Live Plattor service kunde inte bearbeta den mängd RSS-format, ända sedan starten, Microsoft rekommenderar att webbplatser som använder notifications.buildmypinnedsite.com underdomän att konvertera sina RSS-flöden till en speciell XML-format som Windows-Plattor service skulle tolka och skapa animerade, Levande paneler inuti Start page/menu.
Tusentals webbplatser lagt denna meta-tagg för att deras kod, i hopp om att dra nytta av ett nytt sätt att nå sina läsare.
Bild: ZDNet
×
windows-live-plattor-underdomän.png
Men idag Böck sade tjänsten fungerar inte längre.
“Värden som ska leverera den XML-filer – notifications.buildmypinnedsite.com – bara visade ett felmeddelande från Microsofts molntjänst Azure,” forskare. “Värd var omdirigeras till en underdomän av Azure. Men detta underdomän inte var registrerade med Azure.”
Böck registrerat detta underdomän på sin Azure-konto och är för närvarande sinkholing någon begär det tar emot. Han har också anmält Microsoft frågan men säger att företaget inte har svarat.
“Vi kommer inte att hålla de värden som registrerats permanent. Det är en anständig mängd trafik att nå denna värd och driva upp kostnaderna,” forskare.
“När vi avbryta den underdomän som en dålig skådespelare kunde registrera det och missbrukas för skadliga attacker,” varnade han.
Något hot skådespelaren som tar över den här domänen kan använda den för att craft felaktigt XML-filer som kan missbruka Windows Live-Plattor tjänst för att köra kod på datorer som används av användare som fortfarande har hemsida-baserade Live-Plattor i sina startsidor/menyer.
Böck är också att rekommendera att ta bort webbplatser HTML-taggen meta från deras källkod, eller ge speciellt formaterade XML-filerna, utan att skicka användare över till notifications.buildmypinnedsite.com underdomän. Några av de webbplatser som använder denna underdomän inkluderar Mail.ru, Engadget, BGR, TenForums, Golem.de, Heise.de och andra.
Mer sårbarhet rapporter:
Dragonblood sårbarheter avslöjas i wi-fi trådlöst Lan WPA3 standardTens av de tusentals bilar som var kvar utsatt för tjuvar på grund av en hårdkodade lösenord
Kaspersky: 70 procent av de attacker som nu målet Office vulnerabilitiesInternet Explorer zero-day hackare kan stjäla filer från Windows PCsMicrosoft April Patch tisdag kommer med korrigeringar för två Windows-noll-daysSome företagets VPN-apps store autentiserings – /session cookies insecurelyKRACK attack: Här är hur företagen hanterar CNETTopp 10-app sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Microsoft
Säkerhet-TV
Hantering Av Data
CXO
Datacenter