Questo aggiornamento risolve il problema di protezione "Web client di autenticazione NTLM" in Windows 2000 e Office 2000 e viene discusso nel Microsoft Security Bulletin MS01-001. Scarica ora per garantire che il Web Extender Client (WEC) componenti sono impostati i livelli di sicurezza di Internet Explorer consigliate, per evitare che un operatore di sito Web dannoso da catturare le credenziali di accesso.
In condizioni particolari, questa vulnerabilità consente a un sito Web dannoso operatore per ottenere le credenziali di accesso crittograficamente protette di un utente che visita. Questo perché le impostazioni di protezione per i componenti WEC sono impostati su livelli non corretti, che consente al computer di inviare informazioni riguardanti le credenziali di autenticazione per le applicazioni Web remote.
La vulnerabilità esiste perché WEC, che permette di Internet Explorer per visualizzare e pubblicare file tramite cartelle Web, non aderisce alle impostazioni di protezione consigliate in Internet Explorer, ed esegue l'autenticazione NTLM per qualsiasi server che lo richiede. Un operatore di sito Web dannoso potrebbe formattare un documento per richiedere l'autenticazione NTLM da un utente che visita automaticamente, causando le credenziali di autenticazione dell'utente per essere inviate per impostazione predefinita. Una volta che le credenziali sono rivelate, l'operatore può essere in grado di utilizzare strumenti specializzati per ricavare la password dell'utente.
Nota Questa vulnerabilità interessa solo i computer versioni di Internet Explorer oltre il 5.0 con le cartelle Web abilitati in esecuzione. Per ulteriori informazioni su questa vulnerabilità, vedere il Microsoft Security Bulletin MS01-001
Requisiti .
I commenti non trovato