Ang update na ito ang lulutas sa "Web Client NTLM Authentication" kahinaan sa seguridad sa Windows 2000 at Office 2000 at ito ay tinalakay sa Microsoft Security Bulletin MS01-001. I-download ngayon upang matiyak na ang iyong Web tagapaghaba Client (WEC) mga bahagi ay naka-set sa inirerekumendang Internet Explorer antas ng seguridad, upang maiwasan ang isang malisyosong Web site operator mula sa pagkuha ng iyong mga kredensyal ng logon.
Sa ilalim ng mga partikular na kondisyon, kahinaan na ito ay nagbibigay-daan sa isang malisyosong Web site operator upang makuha ang cryptographically protektado logon credential ng isang pagbisita ng gumagamit. Ito ay dahil ang mga setting ng seguridad para sa WEC sangkap ay naka-set sa hindi tamang mga antas, na nagbibigay-daan sa iyong computer upang magpadala ng impormasyon tungkol sa iyong mga kredensyal sa pagpapatotoo sa remote Web application.
Ang kahinaan umiiral dahil WEC, na nagpapahintulot sa Internet Explorer upang tingnan at i-publish ang mga file sa pamamagitan ng Web Mga folder, ay hindi sumunod sa mga pinapayong mga setting ng seguridad sa Internet Explorer, at gumaganap NTLM authentication para sa anumang server na ang kahilingan ng mga ito. Maaaring i-format ang isang malisyosong Web site operator ang isang dokumento sa awtomatikong paghiling NTLM pagpapatotoo mula sa isang pagbisita ng gumagamit, nagiging sanhi ng mga kredensyal sa pagpapatunay ng gumagamit upang maipadala sa pamamagitan ng default. Kapag ang credentials ay nagsiwalat, ang operator ay maaaring gamitin specialized tools upang makakuha ng password ng gumagamit.
Tandaan na kahinaan na ito ay nakakaapekto lamang sa mga computer na nagpapatakbo ng mga bersyon ng Internet Explorer lalampas sa 5.0 sa Web Folder pinagana. Para sa karagdagang impormasyon tungkol sa mga ito kahinaan, basahin Microsoft Security Bulletin MS01-001
Mga kinakailangan .
Mga Komento hindi natagpuan