Тази кръпка елиминира уязвимост в сигурността на компонент, който се доставя с Microsoft Office 2000, Windows 2000 и Windows Me. Уязвимостта може при определени обстоятелства да позволи злонамерен потребител да получи криптографски защитени пълномощията влизане от друг потребител, когато иска документ за Office от уеб сървър.
Клиентът Web Extender (WEC) е компонент, че корабите, като част от Office 2000, Windows 2000 и Windows Me. WEC позволява IE, за да видите и да публикуват файлове чрез уеб папки, подобни на гледане и добавяне на файлове в директория през Windows Explorer. Благодарение на недостатък изпълнение, WEC не зачита настройките на IE за сигурност по отношение на, когато ще се извърши NTLM удостоверяване. Вместо това, WEC ще изпълнява NTLM удостоверяване с всеки сървър, който го поиска. Ако потребител установяване на сесия с уеб сайт злонамерен потребителя, или като посетите сайта или чрез отваряне на HTML поща, която започна сесията с него, заявление на сайта може да прихване NTLM пълномощията на потребителя. Зловредният потребителят може след това да използвате офлайн груба сила атака, за да се извлече паролата или, със специализирани инструменти, може да представи вариант на тези пълномощия в опит за достъп до защитени ресурси.
Уязвимостта ще осигури само злонамерен потребител с криптографски защитена NTLM данните си на друг потребител. Не би, само по себе си, позволи на злонамерен потребител да получат контрол над компютъра на друг потребител или да получат достъп до ресурси за който потребителят е оторизиран достъп. С цел да се наберат на NTLM пълномощията (или впоследствие напукани парола), злонамерен потребител ще трябва да бъде в състояние да дистанционно влезете в целевата система. Въпреки това, най-добри практики диктуват, че дистанционното за влизане услуги да бъде блокирано в граничните устройства, а ако са били последвани тези практики, те щяха да се предотврати един нападател от използването на пълномощията да влезете в целевата система.
Често задавани въпроси относно тази уязвимост може да бъде намерена тук
<> силни Изисквания :.
Windows Me, Office 2000 не е инсталирано
Коментари не е намерена