Die pleister elimineer 'n sekuriteit in 'n komponent wat skepe met Microsoft Office 2000, Windows 2000 en Windows Me. Die kwesbaarheid kan onder sekere omstandighede, toelaat dat 'n kwaadwillige gebruiker crypto beskerm inskrywing data te verkry van 'n ander gebruiker toe versoek om 'n Office-dokument van 'n Web bediener.
Die Web Extender Kliënt (WEC) is 'n komponent wat skepe as deel van Office 2000, Windows 2000 en Windows Me. WEC kan IE om lêers te sien en te publiseer via dopgehou Web, soortgelyk aan die lees en die byvoeging van lêers in 'n gids deur Windows Explorer. As gevolg van 'n fout implementering, beteken WEC nie die IE Security instellings rakende wanneer NTLM verifikasie sal uitgevoer word respekteer. In plaas daarvan, sal WEC NTLM verifikasie voer met enige bediener wat dit versoek. As 'n gebruiker 'n sessie gestig met 'n kwaadwillige webwerf gebruiker, hetsy deur te blaai om die webwerf of deur die opening van 'n HTML-pos wat 'n sessie geïnisieer met dit, kan 'n aansoek op die terrein NTLM geloofsbriewe die gebruiker se vang. Die kwaadwillige gebruiker kan dan gebruik om 'n regte brute krag aanval om die wagwoord te lei of, met gespesialiseerde gereedskap, kan 'n variant van hierdie geloofsbriewe in te dien in 'n poging om toegang te verkry beskerm hulpbronne.
Die kwesbaarheid wat slegs in die kwaadwillige gebruiker met die crypto beskerm NTLM bevestigingsinligting van 'n ander gebruiker. Dit sou nie, deur self, toelaat dat 'n kwaadwillige gebruiker om beheer van die rekenaar se ander gebruiker kry of om toegang te verkry tot hulpbronne waarop die gebruiker is toegang gemagtig word. Ten einde die NTLM geloofsbriewe (of 'n gekraakte daarna wagwoord) hefboom, sou die kwaadwillige gebruiker moet in staat wees om afstand inteken op die teiken stelsel. Maar, beste praktyke bepaal dat remote aanteken dienste geblokkeer op grens toestelle, en as hierdie praktyke gevolg het, sou hulle verhoed dat 'n aanvaller uit die gebruik van die geloofsbriewe inteken op die teiken stelsel.
Algemene vrae oor hierdie kwesbaarheid gevind kan word hier
Vereistes :.
Windows Me, Office 2000 nie geïnstalleer
Kommentaar nie gevind