Windows 2000 Unchecked Buffer Help Security Vulnerability Patch

Screenshot Software:
Windows 2000 Unchecked Buffer Help Security Vulnerability Patch
Szczegóły programowe:
Wersja: MS02-055
Filmu: 2 Nov 15
Wywoływacz: Microsoft
Licencja: Wolny
Popularność: 45
Rozmiar: 876 Kb

Rating: 2.8/5 (Total Votes: 4)

Program pomocy HTML w systemie Windows zawiera kontrolki ActiveX, która zapewnia wiele ze swojej funkcjonalności. Jedną z funkcji narażonych poprzez kontrolę zawiera niesprawdzony bufor, które mogłyby być wykorzystane przez strony WWW hostowane na atakującego? Y miejsce lub wysyłane do użytkownika w postaci wiadomości HTML. Osoba atakująca, której uda się wykorzystać tę lukę, może uruchomić kod w kontekście zabezpieczeń użytkownika, a tym samym zyskuje takie same uprawnienia, jak użytkownik w systemie.

Druga luka istnieje, ponieważ wad związanych z obsługą skompilowanych plików pomocy HTML, które zawierają skróty. Ponieważ skróty pozwalają pliki Pomocy HTML do podjęcia dowolnej działania w systemie, tylko zaufane pliki Pomocy HTML powinny mieć prawo do korzystania z nich. Dwa błędy umożliwiają ograniczenie to być pominięte. Po pierwsze, obiekt Pomoc HTML nieprawidłowo określa strefy zabezpieczeń w przypadku, gdy strona sieci Web lub poczty HTML dostarcza plik CHM do folderu Temporary Internet Files, a następnie otwiera go. Zamiast przenoszenia pliku CHM w odpowiedniej strefie - ten związany z strony internetowej lub poczty HTML, który je wydał - obiekt HTML Help nieprawidłowo obsługuje go w strefie Komputer lokalny, co biorąc pod uwagę to zaufany i pozwalając na korzystanie ze skrótów , Błąd ten jest potęgowany przez fakt, że obiekt HTML Help nie robi? T rozważyć, co folderu treść mieszka w. Gdyby to zrobić, to może odzyskać od pierwszego wada, jak zawartość w folderze tymczasowym Internet jest wyraźnie nie ufał, niezależnie Strefy Bezpieczeństwa renderuje w.

W scenariuszu ataku tej luki byłoby skomplikowane i wiąże się z wykorzystaniem wiadomości HTML do dostarczania pliku CHM, który zawiera skrót, a następnie korzystając z luk, aby go otworzyć i pozwolić skrót wykonać. . Skrót będzie w stanie wykonywać żadnych działań, użytkownik miał uprawnienia do wykonywania w systemie

Wymagania :

Windows 2000

Obsługiwane systemy operacyjne

Podobne oprogramowanie

Inne programy z deweloperem Microsoft

Komentarze do Windows 2000 Unchecked Buffer Help Security Vulnerability Patch

Komentarze nie znaleziono
Dodaj komentarz
Włącz zdjęć!