Este patch elimina uma vulnerabilidade de segurança em um componente que é fornecido como parte do Microsoft Windows 2000. A vulnerabilidade pode permitir que um operador de site mal-intencionado para aprender os nomes e propriedades dos arquivos e pastas no computador de um utilizador visitante.
Um ActiveX controle que é fornecido como parte do Serviço de Indexação está marcado incorretamente como "seguro para script", permitindo assim que ele seja executado por aplicativos Web do site. O controle em questão aqui pode ser usado para enumerar arquivos e pastas e exibir suas propriedades. Não seria necessário para o serviço de indexação de estar em execução para que a vulnerabilidade seja explorada; no entanto, se ele estivesse sendo executado, o controle também poderia ser usado para procurar por arquivos que contêm palavras específicas. A vulnerabilidade não pode ser usada para ler os arquivos, exceto por meio de um cenário bastante improvável discutido em detalhe na FAQ. Não poderia ser utilizado sob quaisquer condições de alterar, adicionar ou excluir informações no computador do usuário.
Um patch foi fornecido para o serviço de indexação 3.0, mas não para Index Server 2.0. Isto é principalmente devido às diferentes veículos de libertação para as duas versões. O serviço de indexação 3.0 é fornecido como parte de todas as versões do Windows 2000; assim, a vulnerabilidade pode afetar todos os usuários do Windows 2000. Em contraste, Index Server 2.0 é fornecido como parte do Windows NT 4.0 Option Pack; assim, a ser afetados pela vulnerabilidade no Index Server 2.0, um Webmaster seria necessário para navegar em sites não confiáveis da Internet a partir de um servidor Web, o que é contrário às práticas recomendadas normais
Requisitos :.
Windows 2000
Comentários não encontrado