แพทช์นี้จะช่วยลดช่องโหว่ความปลอดภัยในองค์ประกอบที่มาพร้อมกับ Microsoft Office 2000, Windows 2000, Windows Me และ ช่องโหว่สามารถภายใต้สถานการณ์บางอย่างที่อนุญาตให้ผู้ใช้ที่เป็นอันตรายที่จะได้รับข้อมูลประจำตัวของการเข้าสู่ระบบการคุ้มครอง cryptographically จากผู้ใช้คนอื่นเมื่อขอเอกสาร Office จากเว็บเซิร์ฟเวอร์.
ลูกค้า Extender เว็บ (WEC) เป็นองค์ประกอบที่เรือเป็นส่วนหนึ่งของสำนักงาน 2000, Windows 2000 และ Windows Me WEC IE ช่วยให้การดูและเผยแพร่ไฟล์ผ่านทางเว็บโฟลเดอร์ที่คล้ายกับการดูและเพิ่มไฟล์ในไดเรกทอรีผ่าน Windows Explorer เนื่องจากข้อบกพร่องการดำเนินงานที่ WEC ไม่เคารพการตั้งค่าการรักษาความปลอดภัยเกี่ยวกับ IE เมื่อตรวจสอบความถูกต้องของ NTLM จะดำเนินการ แต่ WEC จะดำเนินการตรวจสอบความถูกต้องของ NTLM กับเซิร์ฟเวอร์ที่ร้องขอใด ๆ หากผู้ใช้จัดตั้งเซสชั่นที่มีเว็บไซต์ที่เป็นอันตรายของผู้ใช้อย่างใดอย่างหนึ่งโดยไปที่เว็บไซต์หรือโดยการเปิดอีเมล HTML ที่ริเริ่มเซสชั่นกับมันเป็นโปรแกรมบนเว็บไซต์สามารถจับภาพข้อมูลประจำตัวของ NTLM ของผู้ใช้ ผู้ใช้ที่เป็นอันตรายก็จะใช้แบบออฟไลน์โจมตีแรงเดรัจฉานจะได้รับรหัสผ่านหรือด้วยเครื่องมือพิเศษสามารถส่งแตกต่างจากข้อมูลประจำตัวเหล่านี้ในความพยายามที่จะเข้าถึงแหล่งข้อมูลที่มีการป้องกัน.
ช่องโหว่เท่านั้นที่จะให้ผู้ใช้ที่เป็นอันตรายกับ การคุ้มครองสิทธิการตรวจสอบ cryptographically NTLM ของผู้ใช้อื่น มันจะไม่ด้วยตัวเองให้ใช้ที่เป็นอันตรายที่จะได้รับการควบคุมของคอมพิวเตอร์ของผู้อื่นหรือที่จะได้รับการเข้าถึงแหล่งข้อมูลที่ผู้ใช้ที่ได้รับอนุญาตเข้าถึง เพื่อที่จะใช้ประโยชน์จากข้อมูลประจำตัวของ NTLM (หรือรหัสผ่านที่แตกต่อมา) ผู้ใช้ที่เป็นอันตรายจะต้องมีความสามารถในการเข้าสู่ระบบจากระยะไกลไปยังระบบเป้าหมาย แต่ปฏิบัติที่ดีที่สุดบอกว่าบริการการเข้าสู่ระบบจากระยะไกลถูกปิดกั้นในอุปกรณ์ชายแดนและถ้าการปฏิบัติเหล่านี้ตามมาพวกเขาก็จะป้องกันการโจมตีจากการใช้ข้อมูลประจำตัวที่จะเข้าสู่ระบบไปยังระบบเป้าหมาย.
คำถามที่พบบ่อยเกี่ยวกับช่องโหว่นี้สามารถพบได้ ที่นี่
ต้องการ .
Windows Me, Office 2000 ไม่ติดตั้ง
ความคิดเห็นที่ไม่พบ