查漏补缺(46)
软件世界
Nero6网络刻录机让账号记录泄露
对于需要在一个局域网中共享刻录机的用户,相信他们都在使用NeroNET。NeroNET凭借其Nero核心对各品牌刻录机的良好支持,以及易于管理和使用的操作方式得到了普遍的赞同和选用。但是我最近发现Nero中有一个设计缺陷,会导致NeroNET用户的密码外泄。
作为客户机而言,如果他们要使用启用了NeroNet服务的网络刻录机,必须先在本机的“Nero Burning Rom→Recorder→Choose Recorder→NeroNET”中输入服务器地址、端口以及已经存在的账号和密码。然而笔者发现,当Nero存储了该刻录机设定以后,可以在注册表:HKEY_CURRENT_USER\Software\Ahead\Nero-Burning Rom\NeroNET\n(其中n的数值视该客户机使用的账号数量而定)里面找到所有该账号的信息,里面一个名称为password的字符串就记录了该账号的密码。而问题在于,这个密码字符串是不经过任何加密处理的,它的数值对任何人来说都是一目了然。
据笔者了解,很多用户都实行“账号一致”制度。意思就是,他们的电邮、系统账号、游戏账号等等都使用相同的用户名和密码,而Ahead以这样不严谨的态度来对待账号安全问题,可能会导致用户的密码被别有用心的人所窃取,从而导致损失。
希望Ahead能够予以改进,让广受喜爱的Nero更加完美。
注:以上漏洞在Nero Burning Rom 6.3.1.6中发现。
线索提供者:王令杰