Dieser Patch behebt eine Sicherheitsanfälligkeit in einer Komponente, die im Lieferumfang von Microsoft Office 2000, Windows 2000 und Windows Me. Die Sicherheitsanfälligkeit kann, unter bestimmten Umständen, dass ein böswilliger Benutzer die kryptographisch gesicherte Anmeldeinformationen von einem anderen Benutzer bei der Anforderung ein Office-Dokument von einem Webserver zu erhalten.
Der Web Extender Client (WEC) ist eine Komponente, Schiffen als Teil von Office 2000, Windows 2000 und Windows Me. WEC ermöglicht IE, um Dateien über Web-Ordner, ähnlich zu sehen und das Hinzufügen von Dateien in einem Verzeichnis über den Windows Explorer anzuzeigen und zu veröffentlichen. Aufgrund eines Implementierungsfehler, wird nicht an die WEC IE Sicherheitseinstellungen in Bezug auf, wenn NTLM-Authentifizierung durchgeführt. Stattdessen wird WEC NTLM-Authentifizierung mit einem beliebigen Server, der sie anfordert, durchzuführen. Wenn ein Benutzer wurde eine Sitzung mit Website eines böswilligen Benutzers, entweder, indem Sie auf die Website oder durch Öffnen einer HTML-Mail, die eine Sitzung mit ihm eingeleitet, könnte eine Anwendung auf der Website NTLM-Anmeldeinformationen des Benutzers zu erfassen. Der böswillige Benutzer könnte dann eine Offline-Brute-Force-Angriff, um das Kennwort zurückgehen oder mit Spezialwerkzeugen, konnte eine Variante dieser Anmeldeinformationen in einem Versuch, auf geschützte Ressourcen zugreifen einreichen.
Die Sicherheitslücke würde nur den böswilligen Benutzer mit dem kryptografisch geschützt NTLM Authentifizierungsinformationen eines anderen Benutzers. Es wäre nicht, von selbst, dass ein Angreifer die Kontrolle über Computer eines anderen Benutzers zu erlangen oder um Zugang zu den Ressourcen, auf die der Benutzer wurde Zugriffsberechtigung zu erlangen. Um die NTLM-Anmeldeinformationen (oder später geknackt Passwort) zu nutzen, wäre der böswillige Benutzer muss in der Lage, aus der Ferne auf das Zielsystem anmelden können. Diktieren jedoch Best Practices, dass Remote-Anmeldung Dienststellen an den Grenz Geräte blockiert werden, und wenn diese Praktiken wurden befolgt, wären sie ein Angreifer mit den Anmeldeinformationen, die dem Zielsystem anmelden verhindern.
Häufig gestellte Fragen über diese Schwachstelle gefunden werden kann hier
Anforderungen .
Windows Me, Office 2000 NICHT installiert
Kommentare nicht gefunden