Teď jste offline a čekáte, až se znova připojí internet.

MS02-013: Aplet v jazyce Java může přesměrovat komunikaci prohlížeče

DŮLEŽITÉ: Tato oprava byla nahrazena aktualizací popsanou v článku 810030
Příznaky
V modulu Microsoft VM existuje chyba zabezpečení typu napadení relace, která může umožnit speciálně vytvořenému nebezpečnému apletu v jazyce Java tiše přesměrovat veškerou komunikaci prohlížeče na hostitele apletu bez vědomí uživatele. Jakmile útočník získá přesměrovanou komunikaci prohlížeče, může provést libovolnou akci nebo kombinaci akcí, včetně následujících:
  • Zpracovat požadavek prohlížeče.
  • Zaznamenat informace o relaci.
  • Předat požadavek zamýšlenému cíli.
POZNÁMKA: Tato schopnost může umožnit straně se zlými úmysly zaznamenat informace o uživateli v relaci a případně vyhledat uživatelská jména, hesla nebo čísla kreditních karet, která jsou odeslána jako prostý text (nezašifrovaná).

Nebezpečný aplet, který se snaží zneužít tuto chybu zabezpečení, bude aktivní, dokud uživatel neukončí všechny spuštěné instance aplikace Internet Explorer.

Tuto chybu zabezpečení lze zneužít pouze v případě, že je aplikace Microsoft Internet Explorer konfigurována na přístup k prostředkům v Internetu prostřednictvím serveru proxy. Uživatelé, jejichž prohlížeče nejsou konfigurovány na použití serveru proxy, touto chybou zabezpečení ohroženi nejsou.

Jestliže útok zneužívající tuto chybu zachytí jakoukoli zabezpečenou komunikaci protokolu HTTP (HTTPS), nelze komunikaci protokolu HTTPS číst v prostém textu, protože protokol HTTPS je zašifrován pomocí šifrování SSL (Secure Sockets Layer). Proto jsou uživatelská jména a hesla odeslaná pomocí protokolu HTTPS mnohem méně ohrožena než informace v podobě prostého textu odeslané pomocí protokolu HTTP.
Příčina
K této chybě zabezpečení dochází v důsledku způsobu, jakým jsou zpracovány určité požadavky na služby serveru proxy v jazyce Java. Pokud konfigurujete aplikaci Internet Explorer na používání služeb proxy, může speciálně vytvořený program v jazyce Java (někdy nazývaný aplet) zneužít tuto chybu zabezpečení k předání komunikace prohlížeče dále.
Řešení
Tento problém vyřešíte instalací balíčku aktualizace 810030: Aktualizace zabezpečení modulu Microsoft VM z následujícího webu Windows Update:. Další informace o této aktualizaci najdete v následujícím článku databáze Microsoft Knowledge Base:
810030 MS02-069: Chyba v modulu Microsoft VM ohrožuje zabezpečení systému Windows
Prohlášení
Společnost Microsoft potvrdila, že tento problém může do určité míry ohrozit zabezpečení modulu Microsoft VM. Tento problém byl poprvé opraven v aktualizaci Service Pack 3 systému Windows 2000.
Další informace
Chcete-li zjistit číslo sestavení modulu Microsoft VM v počítači se systémem Windows 98, Windows 98 Second Edition (SE) nebo Windows Millennium Edition (Me), postupujte takto:
  1. Klepněte na tlačítko Start a pak klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz command a pak klepněte na tlačítko OK.
  3. Do příkazového řádku zadejte následující příkaz a pak stiskněte klávesu ENTER:
    jview
    Informace o verzi se zobrazí na prvním řádku jako Verze n.nn.nnnn, kde nnnn je číslo sestavení. Například 5.00.3802 označuje sestavení modulu Microsoft VM 3802.
Chcete-li určit číslo sestavení modulu Microsoft VM v počítači se systémem Windows NT 4.0, Windows 2000 nebo Windows XP, postupujte takto:
  1. Klepněte na tlačítko Start a pak klepněte na příkaz Spustit.
  2. Do textového pole Otevřít zadejte příkaz cmd a pak klepněte na tlačítko OK.
  3. Do příkazového řádku zadejte následující příkaz a pak stiskněte klávesu ENTER:
    jview
    Informace o verzi se zobrazí na prvním řádku jako Verze n.nn.nnnn, kde nnnn je číslo sestavení. Například 5.00.3802 označuje sestavení modulu Microsoft VM 3802.
Další informace o způsobu instalace modulu Microsoft VM v bezobslužném režimu bez restartování počítače naleznete v následujícím článku databáze Microsoft Knowledge Base:
304930 Instalace modulu Microsoft VM v bezobslužném režimu bez restartování počítače (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
(Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).) Chcete-li nainstalovat sestavení modulu Microsoft VM 3805 pro systém Microsoft Windows 2000 (Hotfix) v bezobslužném režimu bez restartování počítače, použijte následující příkaz:
Q300845_W2K_SP3_X86_EN.exe -z -q -m
Odkazy
Další informace o této chybě zabezpečení najdete na následujících webech společnosti Microsoft: Další informace o modulu Microsoft VM najdete v následujícím článku databáze Microsoft Knowledge Base:
169803Informace: Seznam historie prostředků pro dodání modulu Microsoft VM
(Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)Nejnovější články databáze Microsoft Knowledge Base a další informace o odborné pomoci týkající se aplikace Visual J++ a sady SDK pro jazyk Java naleznete na následujících webech společnosti Microsoft:
oprava_zabezpečení
Vlastnosti

ID článku: 300845 - Poslední kontrola: 02/03/2011 21:06:00 - Revize: 7.4

  • kbbug kbfix kbjava kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000sp3fix KB300845
Váš názor
>