Zaloguj si�

Select the product you need help with

MS02-013: Aplet w j�zyku Java mo�e przekierowywa� ruch sieciowy przegl�darki

Numer ID artyku�u: 300845 - Zobacz jakich produkt�w dotycz� zawarte w tym artykule porady.

WA�NE: Ta poprawka zosta�a zast�piona przez aktualizacj� opisan� w artykule 810030

(http://support.microsoft.com/kb/810030/PL/ )

Symptomy

W maszynie wirtualnej Microsoft (Microsoft VM) istnieje luka pozwalaj�ca na przej�cie sesji, co umo�liwia z�o�liwie zaprojektowanym apletom w j�zyku Java przekierowa� bez wiedzy u�ytkownika ca�y ruch przegl�darki do hosta, na kt�rym znajduje si� aplet. Gdy osoba atakuj�ca wejdzie w posiadanie przekierowanego ruchu przegl�darki, to mo�e wed�ug swojego uznania podj�� dowolne dzia�anie lub kombinacj� dzia�a�, a w tym:

Obs�ug� ��da� przegl�darki.
Rejestrowanie informacji sesji.
Przekazywanie ��da� do miejsca przeznaczenia.

UWAGA: Dzi�ki temu z�o�liwy u�ytkownik mo�e rejestrowa� informacje pochodz�ce z sesji u�ytkownika i by� mo�e przegl�da� je w poszukiwaniu nazw, hase� lub numer�w kart kredytowych, kt�re s� wysy�ane zwyk�ym (niezaszyfrowanym) tekstem.

Z�o�liwy aplet, kt�ry usi�uje wykorzysta� luk�, b�dzie aktywny do czasu zamkni�cia wszystkich otwartych okien programu Internet Explorer.

T� luk� mo�na wykorzysta� jedynie wtedy, gdy program Microsoft Internet Explorer jest skonfigurowany tak, aby dostawa� si� do zasob�w internetowych za po�rednictwem serwera proxy. U�ytkownicy, kt�rych przegl�darki s� skonfigurowane tak, aby nie korzysta�y z serwera proxy, nie s� nara�eni na niebezpiecze�stwo zwi�zane z t� luk�.

Je�li atak wykorzystuj�cy t� luk� przechwyci bezpieczny ruch HTTP (HTTPS), to nie mo�na wprost odczyta� tego ruchu, gdy� protok� HTTPS jest zaszyfrowany z wykorzystaniem warstwy SSL (Secure Sockets Layer). Dlatego nazwy i has�a przesy�ane za pomoc� protoko�u HTTPS s� znacznie mniej zagro�one ni� informacje wysy�ane zwyk�ym tekstem za pomoc� protoko�u HTTP.

Powr�t na g�r� | Przeka� opini�

Przyczyna

Przyczyn� wyst�powania tej luki jest spos�b, w jaki s� obs�ugiwane pewne ��dania us�ugi proxy w j�zyku Java. Gdy program Internet Explorer zostanie skonfigurowany do korzystania z us�ug proxy, w�wczas specjalnie zaprojektowany program w j�zyku Java (czasem nazywany apletem) mo�e wykorzysta� t� luk� do przekazywania ruchu przegl�darki.

Powr�t na g�r� | Przeka� opini�

Rozwi�zanie

Aby rozwi�za� ten problem, nale�y zainstalowa� pakiet �810030: Microsoft VM Security Update� z nast�puj�cej witryny Windows Update w sieci Web:

http://v4.windowsupdate.microsoft.com/pl/default.asp

(http://v4.windowsupdate.microsoft.com/pl/default.asp)

. Aby uzyska� dodatkowe informacje dotycz�ce tej aktualizacji, kliknij poni�szy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:

810030

(http://support.microsoft.com/kb/810030/PL/ )

MS02-069: Usterka w maszynie Microsoft VM mo�e narazi� system Windows na atak

Powr�t na g�r� | Przeka� opini�

Stan

Firma Microsoft potwierdzi�a, �e ten problem mo�e stanowi� pewn� luk� w zabezpieczeniach maszyny Microsoft VM. Ten problem zosta� po raz pierwszy rozwi�zany w dodatku Service Pack 3 dla systemu Windows 2000.

Powr�t na g�r� | Przeka� opini�

Wi�cej informacji

Aby ustali� numer kompilacji maszyny Microsoft VM na komputerze, na kt�rym jest uruchomiony system Windows 98, Windows 98 Wydanie drugie lub Windows Millennium Edition, nale�y wykona� nast�puj�ce czynno�ci:

Kliknij przycisk Start, a nast�pnie kliknij polecenie Uruchom.
W polu Otw�rz wpisz polecenie command, a nast�pnie kliknij przycisk OK.
W wierszu polecenia wpisz nast�puj�ce polecenie, a nast�pnie naci�nij klawisz ENTER:
jview
Nale�y zwr�ci� uwag�, �e informacja o wersji pojawia si� w pierwszym wierszu jako �Version n.nn.nnnn�, gdzie nnnn jest numerem kompilacji. Na przyk�ad ci�g 5.00.3802 oznacza kompilacj� 3802 programu Microsoft VM.

Aby ustali� numer kompilacji programu Microsoft�VM na komputerze z systemem Windows�NT�4.0, Windows�2000 lub Windows�XP, wykonaj nast�puj�ce kroki:

Kliknij przycisk Start, a nast�pnie kliknij polecenie Uruchom.
W polu Otw�rz wpisz polecenie cmd, a nast�pnie kliknij przycisk OK.
W wierszu polecenia wpisz nast�puj�ce polecenie, a nast�pnie naci�nij klawisz ENTER:
jview
Nale�y zwr�ci� uwag�, �e informacja o wersji pojawia si� w pierwszym wierszu jako �Version n.nn.nnnn�, gdzie nnnn jest numerem kompilacji. Na przyk�ad ci�g 5.00.3802 oznacza kompilacj� 3802 programu Microsoft VM.

Aby uzyska� dodatkowe informacje dotycz�ce sposobu instalowania programu Microsoft�VM w trybie cichym bez ponownego uruchamiania komputera, kliknij nast�puj�cy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:

304930

(http://support.microsoft.com/kb/304930/PL/ )

Jak zainstalowa� aktualizacje maszyny wirtualnej Microsoft w trybie cichym bez ponownego uruchamiania komputera

Aby zainstalowa� maszyn� Microsoft VM o numerze kompilacji 3805 dla systemu Microsoft Windows 2000 (poprawka) w trybie cichym bez ponownego uruchamiania komputera, u�yj nast�puj�cego wiersza polece�:

Q300845_W2K_SP3_X86_EN.exe -z -q -m

Powr�t na g�r� | Przeka� opini�

Materia�y referencyjne

Aby uzyska� wi�cej informacji dotycz�cych tej luki, odwied� nast�puj�ce witryny firmy Microsoft w sieci Web:

http://www.microsoft.com/technet/security/bulletin/ms02-013.asp

(http://www.microsoft.com/technet/security/bulletin/ms02-013.asp)

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-011.asp

(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-011.asp)

Aby uzyska� dodatkowe informacje na temat maszyny wirtualnej Microsoft, kliknij numer artyku�u poni�ej w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:

169803

(http://support.microsoft.com/kb/169803/PL/ )

INFO: Historical List of Shipping Vehicles for Microsoft VM

Aby uzyska� najnowsze artyku�y bazy wiedzy Microsoft Knowledge Base i inne informacje techniczne dotycz�ce programu Visual J++ oraz zestawu SDK dla j�zyka Java, odwied� nast�puj�ce witryny firmy Microsoft w sieci Web:

http://support.microsoft.com/support/visualj/

(http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fsupport%2fvisualj%2f)

http://support.microsoft.com/support/java/

(http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fsupport%2fjava%2f)

Powr�t na g�r� | Przeka� opini�