Ce patch élimine une vulnérabilité de sécurité dans un composant que les navires dans le cadre de Microsoft Windows 2000. Cette vulnérabilité pourrait permettre à un opérateur de site Web malveillant d'apprendre les noms et les propriétés des fichiers et des dossiers sur la machine d'un utilisateur visitant.
Un ActiveX contrôle que les navires dans le cadre du service d'indexation est incorrectement marqué comme «sûr pour le script», lui permettant ainsi d'être exécuté par des applications de sites Web. Le contrôle en cause ici pourrait être utilisé pour énumérer les fichiers et dossiers et de visualiser leurs propriétés. Il ne serait pas nécessaire pour le service d'indexation pour être en cours d'exécution pour que la vulnérabilité puisse être exploitée; Toutefois, si elle était en cours d'exécution, le contrôle pourrait également être utilisé pour rechercher des fichiers contenant des mots spécifiques. La vulnérabilité ne peut pas être utilisé pour lire des fichiers, sauf par l'intermédiaire d'un scénario assez peu probable discuté en détail dans la FAQ. Il ne pouvait pas être utilisé dans toutes les conditions de modifier, ajouter ou supprimer des informations sur l'ordinateur de l'utilisateur.
Un patch a été fourni pour le service d'indexation 3.0, mais pas pour Index Server 2.0. Cela est principalement dû aux différents véhicules de livraison pour les deux versions. Service d'indexation 3,0 navires dans le cadre de toutes les versions de Windows 2000; Ainsi, la vulnérabilité pourrait affecter tous les utilisateurs de Windows 2000. En revanche, Index Server 2.0 navires dans le cadre de Windows NT 4.0 Option Pack; ainsi, d'être affectés par la vulnérabilité dans Index Server 2.0, un webmestre aurait besoin de naviguer sur des sites Internet douteux à partir d'un serveur Web, ce qui est contraire aux pratiques recommandées normales
Exigences :.
Windows 2000
Commentaires non trouvées