Patch ini menghilangkan kerentanan keamanan di komponen yang dikirimkan dengan Microsoft Office 2000, Windows 2000, dan Windows Me. Kerentanan bisa, dalam keadaan tertentu, memungkinkan pengguna jahat untuk mendapatkan kredensial masuk kriptografi dilindungi dari pengguna lain ketika meminta dokumen Office dari server Web.
Web Extender Klien (WEC) adalah komponen yang dikirimkan sebagai bagian dari Office 2000, Windows 2000, dan Windows Me. WEC memungkinkan IE untuk melihat dan mempublikasikan file melalui folder Web, mirip dengan melihat dan menambahkan file dalam direktori melalui Windows Explorer. Karena sebuah cacat implementasi, WEC tidak menghormati pengaturan keamanan IE mengenai kapan otentikasi NTLM akan dilakukan. Sebaliknya, WEC akan melakukan otentikasi NTLM dengan server yang memintanya. Jika pengguna didirikan sesi dengan situs Web pengguna berbahaya, baik dengan browsing ke situs atau dengan membuka email HTML yang dimulai sesi dengan itu, aplikasi di situs bisa menangkap NTLM kredensial pengguna. Pengguna jahat kemudian bisa menggunakan serangan brute-force secara offline untuk mendapatkan password atau, dengan alat khusus, bisa mengajukan varian dari mandat tersebut dalam upaya untuk mengakses sumber daya yang dilindungi.
kerentanan hanya akan memberikan pengguna berbahaya dengan cryptographically dilindungi kredensial otentikasi NTLM dari pengguna lain. Ini tidak akan, dengan sendirinya, memungkinkan pengguna jahat untuk mendapatkan kontrol dari komputer pengguna lain atau untuk mendapatkan akses ke sumber daya yang pengguna yang berwenang akses. Dalam rangka untuk meningkatkan kepercayaan NTLM (atau password kemudian retak), pengguna berbahaya harus dapat jarak jauh logon ke sistem target. Namun, praktik terbaik mendikte bahwa layanan logon terpencil diblokir di perangkat perbatasan, dan jika praktek-praktek ini diikuti, mereka akan mencegah penyerang menggunakan kredensial untuk login ke sistem target.
Pertanyaan yang sering mengenai kerentanan ini diminta dapat ditemukan di sini
Persyaratan :.
Windows Me, Office 2000 tidak diinstal
Komentar tidak ditemukan