MS02-013: A Java kisalkalmazások átirányíthatják a böngészőtől érkező adatokat

A cikk fordítása A cikk fordítása
Cikk azonosítója: 300845
Fontos! A javítás helyébe a 810030 cikkben ismertetett frissítés lépett.(Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Az összes kibontása | Az összes összecsukása

A jelenség

A Microsoft virtuális gép (Microsoft VM) munkamenet-irányítás átvételét lehetővé tévő biztonsági rést tartalmaz, amelyet kihasználva az ártó szándékkal létrehozott Java kisalkalmazások feltűnés és a felhasználó tudta nélkül átirányíthatják a böngészőprogramból érkező összes adatot a kisalkalmazást tároló számítógépre. Miután a támadó hozzájutott az átirányított adatokhoz, tetszés szerint műveletet vagy műveletsorozatot hajthat végre, többek között a következőket:
  • A böngészőnek küldött kérelem kezelése
  • A munkamenetadatok rögzítése
  • A kérelem továbbítása a kívánt célhelyre
Megjegyzés: Az előbbieket kihasználva a rosszindulatú támadó rögzítheti az adott felhasználó munkamenetadatait, és feltehetőleg képessé válik a (titkosítatlan) egyszerű szöveges formátumban küldött felhasználónevek, jelszavak és hitelkártyaszámok keresésére is.

Az e céllal készített ártó szándékú kisalkalmazások mindaddig aktívak maradnak, míg a felhasználó be nem zárja az Internet Explorer összes nyitott példányát.

A biztonsági rés csak abban az esetben használható ki, ha a Microsoft Internet Explorer proxykiszolgálón keresztül csatlakozik az internethez, így a más módon kapcsolatot létesítő felhasználókra nézve nem jelent veszélyt a biztonsági rés.

Ha a biztonsági rést kihasználó támadás biztonságos HTTP (HTTPS) protokoll alapú adatokat fog el, a HTTPS formátumú adatokat nem lehet olvasni egyszerű szöveges formátumban, mert a HTTPS protokoll Secure Sockets Layer (SSL) technológiával titkosítja az adatokat. Ennek következtében a HTTPS protokollal küldött felhasználónevek és jelszavak sokkal kevésbé veszélyeztetettebbek, mint a HTTP protokoll használatával elküldött, egyszerű szöveges formátumú adatok.

Oka

A biztonsági rés oka az, hogy a Java technológia a proxyszolgáltatásra vonatkozó bizonyos kérelmeket nem megfelelő módon kezeli. Az Internet Explorer proxyszolgáltatások használatára történő beállításakor az erre a célra létrehozott (néha kisalkalmazás néven említett) Java program a biztonsági rést kihasználva máshová továbbíthatja a böngészőtől érkező adatokat.

A megoldás

A probléma elhárításához telepítse a 810030. számú, a Microsoft virtuális géphez kiadott biztonságifrissítés-csomagot a Windows Update webhelyről:
http://update.microsoft.com/
. A frissítésről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
810030 MS02-069: A Microsoft virtuális gép biztonsági rése veszélyeztetheti a Windows rendszer működését (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Állapot

A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a Microsoft virtuális gép használata esetén. A problémát először a Windows 2000 Service Pack 3 csomag javította.

További információ

A Windows 98, Windows 98 Second Edition (SE) vagy Windows Millennium Edition (Me) rendszer Microsoft virtuális gép összetevője buildszámát a következőképpen állapíthatja meg:
  1. Kattintson a Start menü Futtatás parancsára.
  2. A Megnyitás mezőbe írja be a command parancsot, majd kattintson az OK gombra.
  3. Írja be a parancssorba a következő parancsot, majd nyomja meg az ENTER billentyűt:
    jview
    A verzióadatok az első sorban a következő formában jelennek meg: „Verziószám: n.nn.nnnn”, ahol nnnn a buildszám. Az 5.00.3802 számsor például a Microsoft virtuális gép 3802-es verzióját jelöli.
A Windows NT 4.0, a Windows 2000 vagy a Windows XP rendszer Microsoft virtuális gép összetevője buildszáma az alábbiak szerint azonosítható:
  1. Kattintson a Start menü Futtatás parancsára.
  2. A Megnyitás mezőbe írja be a cmd parancsot, majd kattintson az OK gombra.
  3. Írja be a parancssorba a következő parancsot, majd nyomja meg az ENTER billentyűt:
    jview
    A verzióadatok az első sorban a következő formában jelennek meg: „Verziószám: n.nn.nnnn”, ahol nnnn a buildszám. Az 5.00.3802 számsor például a Microsoft virtuális gép 3802-es verzióját jelöli.
Ha többet szeretne tudni arról, hogy miként telepíthető a Microsoft virtuális gép csendes telepítéssel és a számítógép újraindítása nélkül, a Microsoft Tudásbázis következő cikke bővebb felvilágosítást nyújt a cikk számára kattintva:
304930 A Microsoft virtuális gép csendes telepítése a számítógép újraindítása nélkül (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A Microsoft virtuális gép Microsoft Windows 2000 rendszerhez készített 3805-ös buildjének (gyorsjavítás) csendes üzemmódban és újraindítás nélkül történő telepítéséhez a következő parancsot kell beríni:
Q300845_W2K_SP3_X86_HU.exe -z -q -m

Hivatkozások

A biztonsági résről a Microsoft webhelyén olvashat részletesebben:
http://www.microsoft.com/technet/security/bulletin/ms02-013.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-011.asp
A Microsoft virtuális gépről a Microsoft Tudásbázis következő cikkében olvashat részletesen a cikk számára kattintva:
169803 Információ: a Microsoft VM-et tartalmazó korábbi szoftvercsomagokról (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A Microsoft Tudásbázis Visual J++ programozási nyelvvel, illetve a Java SDK csomaggal kapcsolatos legfrissebb cikkeit, valamint a vonatkozó egyéb támogatási információt a Microsoft következő webhelyein találja:
http://www.microsoft.com/mscorp/java/

Tulajdonságok

Cikk azonosítója: 300845 - Utolsó ellenőrzés: 2011. február 3. - Verziószám: 7.5
Kulcsszavak: 
kbbug kbfix kbsecvulnerability kbqfe kbwin2000sp3fix kbjava kbsecurity kbsecbulletin kbsechack KB300845
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com