PowWow es una utilidad de comunicación y mensajería personal a través de Internet, similar a ICQ o AOL Instant Messenger. Se han detectado varias vulnerabilidades que pueden facilitar la obtención de las contraseñas de los usuarios de este servicio.
Desarrollado por Tribal Voice para entornos Windows, PowPow integra las ya típicas soluciones de comunicación por Internet, como son entre otras el chat, mensajes, pizarras compartidas, envío de ficheros o juegos. Destaca en esta utilidad la integración de la voz, que permite la comunicación a través de mensajes y charla en tiempo real.
Los problemas comienzan cuando el nombre de usuario y la contraseña se almacenan en texto claro en el fichero c:windowspowwow.ini bajo Windows 95/98 y c:winntpowwow.ini en NT.
La segunda vulnerabilidad es debida a la forma en la este servicio identifica a los usuarios en diversas operaciones, mediante el envío de la contraseña en texto plano a través de una URL. Un hipotético atacante podr¡a obtenerla al visualizar la barra de direcciones en el momento de la autentificaci¢n o m s tarde a trav’s del hist¢rico de visitas del navegador.
Por oltimo, Trival Voice ofrece tambi’n un servicio de correo gratuito, accesible a trav’s de web. Durante el proceso de autentificaci¢n la contrase_a del usuario es visualizada en la p gina web, por lo que queda al alcance de cualquiera que tenga acceso al cach’ del navegador.
M s informaci¢n:
Tribial Voice
http://www.tribal.com/
PowPow
http://www.tribal.com/powwow/
Tribal Voice PowWow Password Vulnerabilities
http://www.securityfocus.com/level2/bottom.html?go=vulnerabilities&id=724
Bernardo Quintero
