Questa patch elimina una vulnerabilità di protezione in un componente che viene fornito come parte di Microsoft Windows 2000. La vulnerabilità potrebbe consentire a un operatore di sito Web dannoso per imparare i nomi e le proprietà di file e cartelle sul computer di un utente che visita.
Un ActiveX controllo che navi come parte del servizio di indicizzazione viene erroneamente contrassegnato come 'sicuri per lo script', consentendo in tal modo di essere eseguito da applicazioni del sito web. Il controllo in questione qui potrebbe essere utilizzato per enumerare file e cartelle e di visualizzare le loro proprietà. Non sarebbe necessario che il servizio di indicizzazione di essere in esecuzione in modo che la vulnerabilità da sfruttare; tuttavia, se fosse in esecuzione, il controllo potrebbe anche essere usato per la ricerca di file che contengono parole specifiche. La vulnerabilità non può essere utilizzato per leggere i file, se non attraverso uno scenario abbastanza improbabile discusso in dettaglio nelle FAQ. Non poteva essere utilizzato in qualsiasi condizione di modificare, aggiungere o eliminare le informazioni sul computer dell'utente.
Una patch è stato fornito per il servizio di indicizzazione 3.0, ma non per Index Server 2.0. Ciò è dovuto principalmente ai diversi veicoli di consegna per le due versioni. Servizio di indicizzazione 3.0 navi da parte di tutte le versioni di Windows 2000; in tal modo, la vulnerabilità potrebbe interessare tutti gli utenti di Windows 2000. Al contrario, Index Server 2.0 navi come parte del Windows NT 4.0 Option Pack; in tal modo, di essere colpiti dalla vulnerabilità in Index Server 2.0, un webmaster avrebbe bisogno di passare in rassegna i siti Internet inaffidabili da un server Web, il che è contrario alle normali pratiche raccomandate
Requisiti .
Windows 2000
I commenti non trovato