| Patch de vulnérabilité d'authentification NTLM client Microsoft Web (Windows 2000) Éliminer une vulnérabilité de sécurité pouvant révéler des informations d'identification de la connexion protégées. |
Télécharger maintenant |
Patch de vulnérabilité d'authentification NTLM client Microsoft Web (Windows 2000) Classement & Résumé
- Nom de l'éditeur:
- Microsoft
- Site Internet de l'éditeur:
- http://www.microsoft.com/
- Systèmes d'exploitation:
- Windows 2000
- Taille du fichier:
- 1.57MB
Patch de vulnérabilité d'authentification NTLM client Microsoft Web (Windows 2000) Mots clés
Patch de vulnérabilité d'authentification NTLM client Microsoft Web (Windows 2000) La description
Depuis Microsoft: Ce correctif élimine une vulnérabilité de sécurité dans un composant qui est livré avec Microsoft Office 2000, Windows 2000 et Windows Me. La vulnérabilité pourrait, dans certaines circonstances, permettre à un utilisateur malveillant d'obtenir des informations d'identification de logon protégées cryptographiquement provenant d'un autre utilisateur lors de la demande d'un document de bureau à partir d'un serveur Web.Le client Extender (WEC) est un composant qui est livré dans le cadre de Office 2000, Windows 2000 et Windows Me. WEC permet à Internet Explorer de visualiser et de publier des fichiers via des dossiers Web, similaires à la visualisation et à l'ajout de fichiers dans un répertoire via Windows Explorer. En raison d'une faille de mise en uvre, WEC ne respecte pas les paramètres de sécurité IE concernant lorsque l'authentification NTLM sera effectuée. Au lieu de cela, WEC effectuera une authentification NTLM avec un serveur qui le demande. Si un utilisateur a établi une session avec un site Web d'utilisateur malveillant, en naviguant sur la navigation sur le site ou en ouvrant un courrier HTML qui a initié une session avec elle, une application sur le site pourrait capturer les informations d'identification NTLM de l'utilisateur. L'utilisateur malveillant pourrait ensuite utiliser une attaque hors ligne de force brute pour dériver le mot de passe ou, avec des outils spécialisés, pourrait soumettre une variante de ces informations d'identification afin d'accéder aux ressources protégées. La vulnérabilité ne fournirait que l'utilisateur malveillant avec le NTLM protégé cryptographiquement Critiques d'authentification d'un autre utilisateur. En lui seul, il ne permettrait pas à un utilisateur malveillant de prendre le contrôle de l'ordinateur d'un autre utilisateur ou d'accéder aux ressources auxquelles cet utilisateur a été autorisé. Afin de tirer parti des informations d'identification NTLM (ou d'un mot de passe appliquée ultérieurement), l'utilisateur malveillant devra être capable de se connecter à distance au système cible. Toutefois, les meilleures pratiques dictent que les services de connexion distants soient bloqués aux périphériques frontaliers et, si ces pratiques ont été suivies, elles empêcheraient un attaquant d'utiliser les informations d'identification de la connexion au système cible.Freinemment posé des questions concernant cette vulnérabilité.
Patch de vulnérabilité d'authentification NTLM client Microsoft Web (Windows 2000) Logiciels associés