Suramya Tomar descubrió un problema de seguridad en Trillian.
Al
seleccionar la opción de chequear el correo web de yahoo desde Trillian
(la pequeña bola de conexión... Check Yahoo Mail), se crea un archivo
temporal en "[Directorio-de-instalacion]\users\default\cache" con un
nombre aleatorio que contiene la contraseña de Yahoo! en texto simple y
de fácil lectura. Esto podría estar bien si el archivo fuese borrado
tan rápido como la identificación (login) con yahoo se haya
efectivizado, pero este archivo permanece allí hasta que Trillian es
cerrado.
El problema fue verificado en "Trillian Pro 3.1 Build 121", "Trillian 3.0 Basic" y "Trillian 3.0 Pro".
Ante
el requerimiento de un usuario de la lista Bugtraq (Technica Forensis),
Scott Werndorfer de Ceruleanstudios, informa que esta debilidad en
Trillian será resuelta en la próxima versión.
Referencias:
Bugtraq: Trillian Ver 3.1 saves password's in plain Text
Bugtraq: Re: Trillian Ver 3.1 saves password's in plain Text
[permalink blogger]