| Windows 2000 בחגץ לא מסודר מאפשר תיקון פגיעות אבטחה פתרו את "המאגר שלא בדוק בסיוע HTML יכול להוביל לפגיעות של ביצוע קוד" ב- Windows 2000. |
הורד עכשיו |
Windows 2000 בחגץ לא מסודר מאפשר תיקון פגיעות אבטחה דירוג וסיכום
- אתר האינטרנט של המוציא לאור:
- http://www.microsoft.com/
- מערכות הפעלה:
- Windows, Windows 2000
- דרישות נוספות:
- Windows 2000
Windows 2000 בחגץ לא מסודר מאפשר תיקון פגיעות אבטחה תגים
Windows 2000 בחגץ לא מסודר מאפשר תיקון פגיעות אבטחה תיאור
מתקן HTML Help ב- Windows כולל בקרת ActiveX המספקת הרבה פונקציונליות שלה. אחת הפונקציות שנחשפו באמצעות השליטה כוללת מאגר לא בדוק, אשר ניתן לנצל על ידי דף אינטרנט המתארח באתר תוקף או שנשלח למשתמש כדואר HTML. תוקף שיצליח לנצל את הפגיעות יוכל להפעיל קוד בהקשר האבטחה של המשתמש, ובכך צובר את אותן הרשאות כמשתמש במערכת. פגיעות שנייה קיימת בשל פגמים הקשורים לטיפול בקבצי HTML של HTML המכילים קיצורי דרך. בגלל קיצורי דרך לאפשר קבצי HTML לעזור לנקוט כל פעולה רצויה במערכת, רק קבצי HTML מהימן צריך להיות מותר להשתמש בהם. שני פגמים מאפשרים הגבלה זו לעקוף. ראשית, מתקן העזרה של HTML קובע באופן שגוי את אזור האבטחה במקרה שבו דף אינטרנט או דואר HTML מספק קובץ CHM לתיקייה קבצי אינטרנט זמניים ולאחר מכן פותחת אותה. במקום לטפל בקובץ ה- CHM באזור הנכון - זה המשויך לדף האינטרנט או בדואר HTML שהספק אותו - מתקן HTML Help מטפל בה באזור המחשב המקומי, ובכך בהתחשב בכך ובהתאם לו להשתמש בקיצורי דרך . שגיאה זו מורכבת על ידי העובדה כי מתקן HTML Help אינו רואה מה התיקייה התוכן מתגורר. האם זה יעשה זאת, זה יכול להתאושש מן הפגם הראשון, כמו תוכן בתוך תיקיית האינטרנט הזמנית הוא בבירור לא מהימן, ללא קשר של אזור האבטחה זה הופך פנימה תרחיש ההתקפה עבור פגיעות זו יהיה מורכב, וכולל באמצעות דואר HTML כדי לספק קובץ CHM המכיל קיצור, ולאחר מכן להשתמש בפיזמים כדי לפתוח אותו ולאפשר לקיצור כדי לבצע. הקיצור יוכל לבצע כל פעולה שהמשתמש היה הרשאות לבצע על המערכת.
Windows 2000 בחגץ לא מסודר מאפשר תיקון פגיעות אבטחה תוכנה קשורה