Patch na ito ay nag-aalis ng isang kahinaan sa seguridad sa isang bahagi na ships sa Microsoft Office 2000, Windows 2000, at Windows Me. Ang kahinaan ay maaaring, sa ilalim ng ilang mga pangyayari, payagan ang isang malisyosong user upang makakuha cryptographically protektado logon credentials mula sa isa pang user kapag humihiling ng isang dokumento ng Office mula sa isang Web server.
Ang Web tagapaghaba Client (WEC) ay isang sangkap na ships bilang bahagi ng Office 2000, Windows 2000, at Windows Me. WEC nagpapahintulot IE upang tingnan at i-publish ang mga file sa pamamagitan ng Web mga folder, katulad ng pagtingin at pagdaragdag ng mga file sa isang direktoryo sa pamamagitan ng Windows Explorer. Dahil sa isang pagpapatupad kapintasan, WEC ay hindi nirerespeto ang mga setting ng IE Security patungkol kapag NTLM authentication ay ginanap. Sa halip, WEC gaganap NTLM authentication sa anumang server na ang kahilingan ng mga ito. Kung itinatag ng isang user sa isang session sa Web site ng isang malisyosong user, alinman sa pamamagitan ng pag-browse sa site o sa pamamagitan ng pagbubukas ng isang HTML mail na pinasimulan ng isang session sa mga ito, ang isang application sa site ay maaaring makuha NTLM credentials ng gumagamit. Maaaring pagkatapos ay gamitin ang malisyosong user isang offline na malupit na puwersa-atake upang kunin ang mga password o, na may espesyal na mga kasangkapan, ay maaaring magsumite ng isang variant ng mga kredensyal sa isang pagtatangka upang ma-access ang protektadong resources.
Ang kahinaan ay nagbibigay lamang ng mga malisyosong mga user na may cryptographically protektado credentials NTLM authentication ng isa pang user. Mas hindi, sa pamamagitan ng kanyang sarili, payagan ang isang malisyosong user upang makakuha ng kontrol ng mga computer ng isa pang user o upang makakuha ng access sa mga mapagkukunan na kung saan ang user na ay awtorisadong pag-access. Upang pagkilos ang NTLM credentials (o isang kasunod na basag password), ang mga malisyosong user ay magkakaroon upang ma-malayuan logon sa sistema ng target. Gayunman, mag-utos pinakamahusay na kasanayan na serbisyo remote logon ma-block sa device border, at kung ang mga gawaing ito ay sinundan, sila maiwasan ang isang umaatake mula sa paggamit ng mga kredensyal sa logon sa sistema ng target.
Mga madalas itanong tungkol sa mga ito kahinaan ay matatagpuan here
Mga kinakailangan .
Windows Me, Office 2000 HINDI install
Mga Komento hindi natagpuan