MS02-013:Java 小程序可以重定向浏览器通信

文章编号: 300845
重要说明:此修补程序已经由下面的知识库文章中描述的更新程序取代:810030
(http://support.microsoft.com/kb/810030/EN-US/ )
展开全部 | 关闭全部

症状

Microsoft 虚拟机 (Microsoft VM) 中存在一个会话劫持漏洞,利用此漏洞,恶意编写的 Java 小程序可以在用户不知道的情况下,偷偷地将所有浏览器通信重新路由到该小程序的主机。攻击者拥有重新路由的浏览器通信后,可以采取其选择的任何操作或操作组合,其中包括:
  • 处理浏览器请求。
  • 记录会话信息。
  • 将请求转发到其设定的目标。
注意:这种能力可能使恶意方得以记录用户的会话信息,甚至可能搜索以纯文本(未加密)方式发送的用户名、密码或信用卡号。

在用户退出所有打开的 Internet Explorer 实例之前,尝试利用此漏洞的恶意小程序一直都会处于活动状态。

只有当 Microsoft Internet Explorer 被配置为通过代理服务器访问 Internet 资源时,此漏洞才可能被利用。未将浏览器配置为使用代理服务器的用户不会受此漏洞的影响。

对于安全的 HTTP (HTTPS) 通信而言,即使利用此漏洞的攻击捕获了任何这类通信,也无法以纯文本方式读取 HTTPS 通信,因为 HTTPS 已使用安全套接字层 (SSL) 进行了加密。因此,使用 HTTPS 发送的用户名和密码要比使用 HTTP 以纯文本方式发送的信息安全得多。
回到顶端 | 提供反馈

原因

此漏洞的产生是由于对使用 Java 语言编写的某些代理服务请求的处理方式造成的。当您将 Internet Explorer 配置为使用代理服务时,经过特别编写的 Java 程序(有时称为小程序)就可以利用此漏洞转发浏览器通信。
回到顶端 | 提供反馈

解决方案

要解决此问题,请从 Windows Update Web 站点安装“810030:Microsoft VM 安全更新”软件包,网址如下:
http://update.microsoft.com/
(http://update.microsoft.com/)
. 有关此更新程序的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
810030
(http://support.microsoft.com/kb/810030/EN-US/ )
MS02-069:Microsoft VM 中的缺陷可能危及 Windows 的安全
回到顶端 | 提供反馈

状态

Microsoft 已确认此问题可能会导致 Microsoft 虚拟机中出现某种程度的安全漏洞。 此问题最早在 Windows 2000 Service Pack 3 中得到了解决。
回到顶端 | 提供反馈

更多信息

要确定运行 Windows 98、Windows 98 Second Edition (SE) 或 Windows Millennium Edition 的计算机上的 Microsoft VM 内部版本号,请执行以下步骤:
  1. 单击开始,然后单击运行
  2. 打开文本框中,键入 command,然后单击确定
  3. 在命令提示符处键入以下命令,然后按 Enter 键:
    jview
    注意第一行上出现的版本信息为“版本 n.nn.nnnn”,其中 nnnn 是内部版本号。例如,5.00.3802 表示 Microsoft VM 内部版本 3802。
要确定运行 Windows NT 4.0、Windows 2000 或 Windows XP 的计算机上的 Microsoft VM 内部版本号,请执行以下步骤:
  1. 单击开始,然后单击运行
  2. 打开文本框中,键入 cmd,然后单击确定
  3. 在命令提示符处键入以下命令,然后按 Enter 键:
    jview
    注意第一行上出现的版本信息为“版本 n.nn.nnnn”,其中 nnnn 是内部版本号。例如,5.00.3802 表示 Microsoft VM 内部版本 3802。
有关如何在不重新启动计算机的情况下默认安装 Microsoft VM 的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
304930
(http://support.microsoft.com/kb/304930/EN-US/ )
如何在不重新启动计算机的情况下默认安装 Microsoft 虚拟机
要在不重新启动计算机的情况下默认安装 Microsoft VM build 3805 for Microsoft Windows 2000(修复程序),请使用以下命令行:
Q300845_W2K_SP3_X86_EN.exe -z -q -m
回到顶端 | 提供反馈

参考

有关此漏洞的更多信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/security/bulletin/ms02-013.asp
(http://www.microsoft.com/technet/security/bulletin/ms02-013.asp)


http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-011.asp
(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-011.asp)
有关 Microsoft 虚拟机的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
169803
(http://support.microsoft.com/kb/169803/EN-US/ )
INFO:Historical List of Shipping Vehicles for Microsoft VM
有关最新的 Microsoft 知识库文章以及其他关于 Visual J++ 和 SDK for Java 的支持信息,请访问下列 Microsoft Web 站点:
http://support.microsoft.com/support/visualj/
(http://support.microsoft.com/support/visualj/)


http://support.microsoft.com/support/java/
(http://support.microsoft.com/support/java/)
回到顶端 | 提供反馈

属性

文章编号: 300845 - 最后修改: 2011年2月3日 - 修订: 7.2
关键字:?
kbbug kbfix kbjava kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000sp3fix KB300845
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
回到顶端 | 提供反馈

提供反馈

 
回到顶端回到顶端