這個補丁消除了一個組件,它附帶的Microsoft Office 2000,Windows 2000和Windows Me的一個安全漏洞。該漏洞可能在某些情況下,允許惡意用戶可以從其他用戶請求從Web服務器的Office文檔時獲得密碼保護的登錄憑據。
在Web擴展客戶端(WEC)是一個組件,船舶作為Office的一部分2000年,Windows 2000和Windows Me的。 WEC允許IE瀏覽器通過Web文件夾,類似於查看和通過Windows資源管理器的目錄添加文件查看和發布文件。由於一個實現缺陷,WEC不尊重NTLM身份驗證時將進行有關的IE安全設置。相反,WEC將執行NTLM身份驗證的任何請求它的服務器。如果用戶與惡意用戶的Web站點,或者通過瀏覽網站或打開HTML郵件,與它發起的會話建立的會話,在網站上的應用程序可以捕獲用戶的NTLM憑據。然後,惡意用戶可能使用脫機強力攻擊來獲得密碼,或者有專門的工具,可以在試圖訪問受保護的資源提交這些憑據的變體。
該漏洞將僅提供惡意用戶使用密碼保護其他用戶的NTLM身份驗證憑據。它不會,本身,允許惡意用戶獲得其他用戶的計算機的控制權或者獲得對以該用戶被授權訪問資源的訪問。為了利用NTLM憑據(或隨後裂化密碼),惡意用戶將必須能夠遠程登錄到目標系統。不過,最佳做法決定了遠程登錄服務被阻止在邊境的設備,如果這些做法都跟著,他們會阻止攻擊者使用憑據登錄到目標系統。
常見有關此漏洞的問題,可以發現這裡
要求:
Windows Me中的Office 2000不安裝
評論沒有發現