日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

Win XP發(fā)現(xiàn)“可能擅自向外發(fā)送密碼”的危險

云知道

【W(wǎng)in XP發(fā)現(xiàn)“可能擅自向外發(fā)送密碼”的危險】Windows XP發(fā)現(xiàn)在用戶不知情的情況下向外部服務(wù)器發(fā)送密碼的潛在危險 。該危險是由網(wǎng)絡(luò)管理工具供應(yīng)商Security Friday發(fā)現(xiàn)后報告給與安全相關(guān)的郵件清單“NTBugtraq的 。其“具有向惡意用戶泄漏密碼的潛在危險 。
該公司發(fā)現(xiàn)這一危險的關(guān)表示 , 該潛在危險與安裝Office 2000/XP/2003的Windows XP電腦和將文件共享設(shè)為有效的Windows Server的IIS(Internet Infomation Services)有關(guān) , 當(dāng)用戶在Windows XP電腦連接HTTP后直接打開在IIS上公開的Word文件(擴展名為Doc)時 , Windows XP電腦便試圖對該Windows Server進行NTLM認證 。
當(dāng)執(zhí)行NTLM認證時 , 客戶端便會向服務(wù)器發(fā)送經(jīng)過hush處理的密碼 。關(guān)表示 , “如果針對惡意用戶建立的服務(wù)器進行NTLM認證 , 那么只需幾分鐘便可破解hush處理過的密碼 。也就是說 , 只要用戶直接打開惡意用戶公開的Doc文件便會使用戶的密碼被盜 。
采訪人員曾經(jīng)向日本微軟的安全反應(yīng)團隊對該潛在危險進行咨詢 , 得到的答復(fù)是這是正常規(guī)格而不是軟件錯誤 。當(dāng)在安裝Office 2000/XP/2003的Windows電腦上用Internet Explorer打開諸如“服務(wù)器為IIS" target=_blank>http://www.xxx.yyy/test/zzz.doc鏈接時(Web服務(wù)器為IIS) , 可以用客戶端的Word直接打開Doc文件 。此時Word和Windows XP試圖在[我的電腦]中添加快捷鍵以保存Doc文件的服務(wù)器的信息 。當(dāng)在Windows XP中連接文件服務(wù)器后 , 為了下次更快捷連接該服務(wù)器 , 將在[我的電腦]上生成快捷鍵 。而在Word打開IIS上的Doc文件時 , 也會執(zhí)行同樣的動作 , 此時試圖對服務(wù)器進行NTLM認證 。
日本微軟的安全反應(yīng)團隊表示:“我們已經(jīng)確認Windows XP和Word中存在上述規(guī)格 。從安全角度來講 , 無論用戶出于什么目的 , 使用UNC(通用命名規(guī)則)連接外部網(wǎng)站都不是值得提倡的事情 。目前沒有發(fā)布軟件補丁的計劃 , 但今后有可能根據(jù)情況做出改變 。
日本微軟表示 , 只要按照微軟的支持技術(shù)信息242578中的“ [我的網(wǎng)絡(luò)]中不添加網(wǎng)絡(luò)共享快捷鍵的方法對Windows XP進行設(shè)置 , 便可使Windows XP的該規(guī)格無效 。而關(guān)則表示 , 即使進行上述設(shè)置也無法阻止發(fā)送密碼 。事實上只要將操作系統(tǒng)的服務(wù)“Web客戶端服務(wù)設(shè)為停止使用就無法發(fā)送密碼 。
關(guān)表示 , 在此之前Windows中曾多次發(fā)現(xiàn)類似“在用戶不知情的情況下發(fā)送密碼的規(guī)格 。例如 , 由于可能導(dǎo)致安全漏洞 , 微軟曾針對“Windows 2000的Telnet客戶端擅自發(fā)送密碼的規(guī)格和“Windows 2000/Me的Web Extender客戶端擅自發(fā)送密碼的規(guī)格發(fā)布補丁模塊 。但對于此次發(fā)現(xiàn)的與Word相關(guān)的規(guī)格和當(dāng)瀏覽含有“<img src=file:////www.xxx.yyy/test>圖片標識的HTML文件時向服務(wù)器發(fā)送密碼的規(guī)格則沒有發(fā)布補丁 。

    推薦閱讀