Bu patch Microsoft Office 2000, Windows 2000 və Windows Me gəmilər komponenti bir təhlükəsizlik açığı aradan qaldırır. açığı, müəyyən şərtlər altında, bir Web server Office sənədini tələb zaman bir zərərli istifadəçi başqa bir istifadəçi cryptographically qorunur açma etimadnaməsini almaq üçün imkan ola bilər.
Web Extender Client (WEC) bir hissəsidir ki, Office hissəsi kimi gəmiləri 2000, Windows 2000 və Windows Me. WEC IE görüntü və Windows Explorer vasitəsilə bir kataloq faylları əlavə bənzər Web qovluq vasitəsilə faylları keçirmək və dərc imkan verir. Icra qüsur görə, WEC NTLM identifikasiyası həyata keçiriləcək zaman bağlı IE Təhlükəsizlik parametrləri hörmət etmir. Əksinə, WEC xahişi hər hansı bir server ilə NTLM identifikasiyası çıxış edəcək. Bir istifadəçi bir zərərli istifadəçi Web site, ya sayta gəzən və ya onunla bir sessiya başladılan HTML mail açaraq bir sessiya müəyyən varsa, saytda bir proqram istifadəçi NTLM etimadnaməsini tutmaq bilər. zərərli Istifadəçi sonra parol əldə etmək üçün bir offline Gücün-güc hücum istifadə edə bilər və ya, ixtisaslaşdırılmış alətləri ilə, mühafizə resursları daxil olmaq cəhdi bu etimadnaməsini bir variant təqdim edə bilər.
açığı yalnız zərərli istifadəçi təmin edəcək cryptographically başqa bir istifadəçi NTLM identifikasiyası etimadnaməsini qorunur. Bu, özü-özlüyündə bir zərərli istifadəçi başqa istifadəçi kompüter nəzarəti əldə etmək üçün və ya istifadəçi girişi səlahiyyətli olan resursların daxil olmaq üçün imkan deyil. NTLM etimadnaməsini (və ya sonradan cadar parol) leverage üçün, zərərli istifadəçi uzaqdan hədəf sisteminə daxil açma etmək olardı. Lakin, ən yaxşı təcrübələr uzaq açma xidməti sərhəd cihazları bağlanacaq və bu təcrübələri təqib etdi, onlar hədəf sistemi daxil açma etimadnaməsini istifadə edərək, bir təcavüzkarın qarşısını almaq ki, diktə.
Tez-tez əldə edə bilərsiniz Bu açığı ilə bağlı suallar Burada
tələblər .
Windows Me, 2000 Office yüklü
Şərhlər tapılmadı