MS02-013:Java 小程序可以重定向浏览器流量

文章翻译 文章翻译
文章编号: 300845 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
注意
本文中以前列出的 Microsoft 虚拟机 (Microsoft VM) 更新不再可用。有关详细信息,请访问下面的 Microsoft 网页:
http://www.microsoft.com/mscorp/java/default.mspx
http://support.microsoft.com/gp/lifean12
展开全部 | 关闭全部

症状

Microsoft 虚拟机 (Microsoft VM) 中存在一个会话劫持漏洞,恶意编写的 Java 小程序可以利用此漏洞在用户不知道的情况下,偷偷地将所有浏览器流量重新路由至该小程序的主机。攻击者在拥有重新路由的浏览器流量后,可以执行其选择的任何操作或操作组合,其中包括:
  • 处理浏览器请求。
  • 记录会话信息。
  • 将请求转发到预期的目标。
注意:该功能可能会为恶意方提供记录用户会话信息的机会,甚至可能提供搜索以纯文本(未加密)方式发送的用户名、密码或信用卡卡号的机会。

在用户退出所有打开的 Internet Explorer 实例之前,试图利用此漏洞的恶意小程序会一直处于活动状态。

只有当您将 Microsoft Internet Explorer 配置为通过代理服务器访问 Internet 资源时,此漏洞才可能会遭到利用。未将浏览器配置为使用代理服务器的用户不会受此漏洞的影响。

如果利用此漏洞的攻击捕获了任何安全 HTTP (HTTPS) 流量,也无法以纯文本方式读取 HTTPS 流量,因为 HTTPS 已使用安全套接字层 (SSL) 进行了加密。因此,使用 HTTPS 发送的用户名和密码要比使用 HTTP 以纯文本方式发送的信息安全得多。

原因

此漏洞的产生是由于某些 Java 代理服务请求的处理方式所致。当您将 Internet Explorer 配置为使用代理服务时,经特殊设计的 Java 程序(亦称为“小程序”)便可以利用此漏洞转发浏览器流量。

状态

Microsoft 已确认此问题可能会导致 Microsoft 虚拟机中出现某种程度的安全漏洞。 此问题最早在 Windows 2000 Service Pack 3 中得到解决。

更多信息

若要确定运行 Windows 98、Windows 98 Second Edition (SE) 或 Windows Millennium Edition (Me) 的计算机上的 Microsoft 虚拟机生成号,请按照下列步骤操作:
  1. 单击“开始”,再单击“运行”
  2. 在“打开”文本框中,键入“命令”,再单击“确定”
  3. 在命令提示符处,键入以下命令,再按 Enter:
    jview
    请注意,第一行上出现的版本信息为“版本 n.nn.nnnn”,其中 nnnn 表示生成号。例如,5.00.3802 表示 Microsoft 虚拟机生成号为 3802。
若要确定运行 Windows NT 4.0、Windows 2000 或 Windows XP 的计算机上的 Microsoft 虚拟机生成号,请按照下列步骤操作:
  1. 单击“开始”,再单击“运行”
  2. 在“打开”文本框中,键入“cmd”,再单击“确定”
  3. 在命令提示符处,键入以下命令,再按 Enter:
    jview
    请注意,第一行上出现的版本信息为“版本 n.nn.nnnn”,其中 nnnn 表示生成号。例如,5.00.3802 表示 Microsoft 虚拟机生成号为 3802。

参考

有关此漏洞的详细信息,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/security/bulletin/ms02-013

http://technet.microsoft.com/en-us/security/bulletin/ms03-011
有关 Microsoft 虚拟机的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
169803 INFO:Microsoft 虚拟机的传送工具历史记录列表
有关 Visual J++ 和 Java SDK 的支持信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/java

属性

文章编号: 300845 - 最后修改: 2014年3月27日 - 修订: 8.0
这篇文章中的信息适用于:
  • Microsoft Virtual Machine for Java?当用于
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Standard Edition
关键字:?
kbarchive kbqfe kbbug kbfix kbjava kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000sp3fix KB300845
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com