Denne patch fjerner en sårbarhed sikkerhed i en komponent, der leveres med Microsoft Office 2000, Windows 2000 og Windows Me. Sårbarheden kan under visse omstændigheder,
Web Extender Client (WEC) er en komponent give en ondsindet bruger at opnå kryptografisk beskyttede logonoplysninger fra en anden bruger, når de anmoder et Office-dokument fra en webserver., At skibe som en del af Office 2000, Windows 2000 og Windows Me. WEC giver IE for at se og udgive filer via web mapper, svarende til visning og tilføje filer i en mappe via Windows Stifinder. På grund af en implementering fejl, betyder WEC ikke respekterer IE Sikkerhedsindstillinger om når NTLM-godkendelse vil blive udført. I stedet vil WEC udføre NTLM-godkendelse med en server, der anmoder herom. Hvis en bruger etableret en session med en ondsindet bruger hjemmeside, enten ved at browse på stedet eller ved at åbne en HTML mail, der indledte en session med det, kunne en ansøgning på webstedet fange brugerens NTLM-legitimationsoplysninger. Den ondsindet bruger kan derefter bruge en offline brute-force angreb til at udlede adgangskode eller, med specialiserede værktøjer, kunne indsende en variant af disse legitimationsoplysninger i et forsøg på at få adgang til beskyttede ressourcer.
sårbarhed vil kun give den ondsindede bruger med kryptografisk beskyttede NTLM legitimationsoplysninger af en anden bruger. Det ville ikke i sig selv give en ondsindet bruger at få kontrol over en anden brugers computer eller for at få adgang til ressourcer, som den pågældende bruger var tilladt adgang. For at udnytte de NTLM-legitimationsoplysninger (eller et efterfølgende revnet adgangskode), ville ondsindet bruger nødt til at være i stand til at fjernstyre logge på målsystemet. Men, bedste praksis dikterer, at remote logon-tjenester blokeres grænserne enheder, og hvis denne praksis blev fulgt, ville de forhindre en hacker i at bruge legitimationsoplysninger til at logge på målet systemet.
Ofte stillede spørgsmål vedrørende denne sårbarhed kan findes her
Krav :.
Windows Me, Office 2000 ikke installeret
Kommentarer ikke fundet