这个补丁消除了一个组件,它附带的Microsoft Office 2000,Windows 2000和Windows Me的一个安全漏洞。该漏洞可能在某些情况下,允许恶意用户可以从其他用户请求从Web服务器的Office文档时获得密码保护的登录凭据。
在Web扩展客户端(WEC)是一个组件,船舶作为Office的一部分2000,Windows 2000和Windows Me的。 WEC允许IE浏览器通过Web文件夹,类似于查看和通过Windows资源管理器的目录添加文件查看和发布文件。由于一个实现缺陷,WEC不尊重NTLM身份验证时将进行有关的IE安全设置。相反,WEC将执行NTLM身份验证的任何请求它的服务器。如果用户与恶意用户的Web站点,或者通过浏览网站或打开HTML邮件,与它发起的会话建立的会话,在网站上的应用程序可以捕获用户的NTLM凭据。然后,恶意用户可能使用脱机强力攻击来获得密码,或者有专门的工具,可以在试图访问受保护的资源提交这些凭据的变体。
该漏洞将仅提供恶意用户使用密码保护其他用户的NTLM身份验证凭据。它不会,本身,允许恶意用户获得其他用户的计算机的控制权或者获得对以该用户被授权访问资源的访问。为了利用NTLM凭据(或随后裂化密码),恶意用户将必须能够远程登录到目标系统。不过,最佳做法决定了远程登录服务被阻止在边境的设备,如果这些做法都跟着,他们会阻止攻击者使用凭据登录到目标系统。
常见有关此漏洞的问题,可以发现这里
要求:
Windows Me中的Office 2000不安装
评论没有发现