MS02-013:Java Applet 可以重新導向瀏覽器流量

文章翻譯 文章翻譯
文章編號: 300845 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
注意事項
本文先前所列的 Microsoft 虛擬機器 (Microsoft VM) 更新不再有效。如需詳細資訊,請造訪下列 Microsoft 網頁:
http://www.microsoft.com/taiwan/mscorp/java/default.mspx
http://support.microsoft.com/gp/lifean12
全部展開 | 全部摺疊

徵狀

Microsoft 虛擬機器 (Microsoft VM) 中存在一個威脅工作階段的弱點,可能使惡意設計的 Java Applet 在使用者不知情的情況下,無訊息地將所有瀏覽器流量重新路由到 Applet 的主機。當攻擊者擁有重新路由的瀏覽器流量,他可以選擇採取任何行動,其中包括下列:
  • 處理瀏覽器要求。
  • 記錄工作階段資訊。
  • 轉送要求到預期的目的地。
注意:這個功能可使心懷不軌的人士記錄使用者的工作階段資訊,並搜尋以純文字 (未加密) 傳送的使用者名稱、密碼或信用卡號。

試圖利用此弱點的惡意 Applet 可以在使用者退出所有已開啟的 Internet Explorer 執行個體後才開始作用。

只有當 Microsoft Internet Explorer 設定為透過 proxy 伺服器存取網際網路資源時,才能利用此弱點。使用者的瀏覽器若未設定為使用 Proxy 伺服器,就不會有此弱點被利用的風險。

因為 HTTPS 已經使用安全通訊端層 (SSL) 加密,所以利用此弱點擷取任何安全 HTTP (HTTPS) 傳輸的攻擊,無法以純文字讀取該 HTTPS 傳輸。因此,透過 HTTPS 傳送的使用者名稱和密碼,比使用 HTTP 以純文字傳送的資訊要安全。

發生的原因

這項弱點是因為有些 Java 中 Proxy 服務要求的處理方式造成的。當您設定 Internet Explorer 為使用 Proxy 服務時,經過故意設計的 Java 程式 (有時稱為 Applet) 可能利用此弱點轉送瀏覽器流量。

狀況說明

Microsoft 已確認這項問題將在 Microsoft 虛擬機器中造成一定程度的安全性弱點。 這個問題已經在 Windows 2000 Service Pack 3 中優先獲得修正。

其他相關資訊

如果要判斷執行 Windows 98、Windows 98 Second Edition (SE) 或 Windows Millennium Edition (Me) 電腦上的 Microsoft VM 組建編號,請依照下列步驟執行:
  1. 按一下 [開始],然後按一下 [執行]
  2. [開啟] 文字方塊中輸入 command,然後按一下 [確定]
  3. 在命令提示字元中輸入下列命令,然後按下 ENTER:
    jview
    請注意,第一行會出現版本資訊「Version n.nn.nnnn」,其中 nnnn 是組建編號。例如,5.00.3802 代表 Microsoft VM 組建 3802。
如果要判斷執行 Windows NT 4.0、Windows 2000 或 Windows XP 電腦上的 Microsoft VM 組建編號,請依照下列步驟執行:
  1. 按一下 [開始],然後按一下 [執行]
  2. [開啟] 文字方塊中輸入 cmd,然後按一下 [確定]
  3. 在命令提示字元中輸入下列命令,然後按下 ENTER:
    jview
    請注意,第一行會出現版本資訊「Version n.nn.nnnn」,其中 nnnn 是組建編號。例如,5.00.3802 代表 Microsoft VM 組建 3802。

?考

如需有關這個弱點的詳細資訊,請造訪下列 Microsoft 網站 (英文):
http://technet.microsoft.com/en-us/security/bulletin/ms02-013

http://technet.microsoft.com/en-us/security/bulletin/ms03-011
如需有關 Microsoft 虛擬機器的詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
169803 INFO:隨附有 Microsoft VM 的產品記錄清單
如需有關 Visual J++ 以及 SDK for Java 的支援資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/mscorp/java/default.mspx

屬性

文章編號: 300845 - 上次校閱: 2014年3月27日 - 版次: 10.0
這篇文章中的資訊適用於:
  • Microsoft Virtual Machine for Java?應用於:
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Standard Edition
關鍵字:?
kbarchive kbqfe kbbug kbfix kbjava kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000sp3fix KB300845
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com