Olet tällä hetkellä offline-tilassa. Internet-yhteyden muodostamista uudelleen odotetaan

MS02-013: Java-sovelma voi muuttaa selainliikenteen reititystä

TÄRKEÄÄ: Tämä korjaustiedosto on korvattu päivityksellä, joka on kuvattu artikkelissa 810030
Oire
Microsoft VM:ssä (Microsoftin näennäislaitteessa) on istunnon kaappaamisen mahdollistava heikkous, jonka vuoksi haitalliseksi suunniteltu Java-sovelma voi ohjata kaiken selainliikenteen sovelman isäntäkoneelle niin, ettei käyttäjä saa tietää tästä. Kun hyökkääjä on saanut uudelleenreititetyn selainliikenteen haltuunsa, hän voi toimia esimerkiksi seuraavasti:
  • Hän voi käsitellä selaimen pyyntöjä.
  • Hän voi tallentaa istunnon tiedot.
  • Hän voi ohjata pyynnön tarkoitettuun kohteeseen.
HUOMAUTUS: Tämän ominaisuuden avulla pahantahtoinen osapuoli voi tallentaa käyttäjän istuntokohtaiset tiedot ja etsiä käyttäjänimiä, salasanoja tai luottokorttien numeroita, jotka lähetetään selkokielisenä (salaamattomana) tekstinä.

Haitallinen sovelma, joka yrittää hyödyntää tätä heikkoutta, on aktiivinen, kunnes käyttäjä sulkee kaikki avoimet Internet Explorerin istunnot.

Tätä heikkoutta voi hyödyntää vain, jos Internet Explorer on määritetty käyttämään Internetin resursseja välityspalvelimen kautta. Jos käyttäjä ei käytä välityspalvelinta, tämä heikkous ei ole vaarallinen.

Jos tätä heikkoutta hyödyntävä hyökkäys kaappaa suojattua HTTP (HTTPS) -liikennettä, HTTPS-liikennettä ei voida lukea selkokielisenä, koska HTTPS-liikenne on salattu SSL-suojauksella (Secure Sockets Layer). Tästä syystä HTTPS-muodossa lähetetyt käyttäjänimet ja salasanat ovat huomattavasti paremmin suojattuja kuin selkokielisessä HTTP-muodossa lähetetyt käyttäjänimet ja salasanat.
Syy
Tämän heikkouden aiheuttaa Javan tapa käsitellä tiettyjä välityspalvelinpyyntöjä. Kun määrität Internet Explorerin käyttämään välityspalvelinta, erikseen tätä tarkoitusta varten suunniteltu Java-ohjelma (kutsutaan myös Java-sovelmaksi) voi hyödyntää tätä heikkoutta ja ohjata selaimen liikenteen muualle.
Ratkaisu
Voit korjata ongelman asentamalla Microsoft VM -suojauspäivityksen 810030 seuraavasta Windows Update -Web-sivustosta:.Saat lisätietoja tästä päivityksestä napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
810030 MS02-069: Virhe Microsoft VM:ssä saattaa tehdä Windowsista haavoittuvan (tämä artikkeli saattaa olla englanninkielinen)
Tila
Microsoft on vahvistanut, että tämä ongelma saattaa aiheuttaa jonkinasteisen suojausheikkouden Microsoft VM:ssä (näennäislaite). Tämä ongelma korjattiin Windows 2000:n Service Pack 3:ssa.
Enemmän tietoa
Voit selvittää Microsoft VM -koontinumeron Windows 98-, Windows 98 Second Edition (SE)- tai Windows Millennium Edition (ME) -tietokoneessa seuraavasti:
  1. Napsauta Käynnistä-painiketta ja valitse sitten Suorita.
  2. Kirjoita Avaa-tekstiruutuun command ja valitse sitten OK.
  3. Kirjoita komentokehotteeseen seuraava komento ja paina sitten ENTER-näppäintä:
    jview
    Huomaa, että versiotiedot näkyvät ensimmäisellä rivillä muodossa "Versio n.nn.nnnn", jossa nnnn on koontiversion numero. Esimerkiksi 5.00.3802 on Microsoft VM:n koontiversio 3802.
Voit selvittää Microsoft VM -koontinumeron Windows NT 4.0-, Windows 2000- tai Windows XP -tietokoneessa seuraavasti:
  1. Napsauta Käynnistä-painiketta ja valitse sitten Suorita.
  2. Kirjoita Avaa-ruutuun cmd ja valitse sitten OK.
  3. Kirjoita komentokehotteeseen seuraava komento ja paina sitten ENTER-näppäintä:
    jview
    Huomaa, että versiotiedot näkyvät ensimmäisellä rivillä muodossa "Versio n.nn.nnnn", jossa nnnn on koontiversion numero. Esimerkiksi 5.00.3802 on Microsoft VM:n koontiversio 3802.
Saat lisätietoja Microsoft VM:n asentamisesta hiljaisesti ilman tietokoneen uudelleenkäynnistystä napsauttamalla seuraavan artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
304930 Microsoft VM:n (Virtual Machine) hiljainen asennus käynnistämättä tietokonetta uudelleen (tämä artikkeli saattaa olla englanninkielinen)
Jos haluat asentaa Microsoft VM:n koontiversion 3805 korjaustiedoston Microsoft Windows 2000 -käyttöjärjestelmälle hiljaisesti niin, että tietokone ei käynnisty uudelleen, käytä seuraavaa komentoriviä:
Q300845_W2K_SP3_X86_EN.exe -z -q -m
Suositukset
Lisätietoja tästä heikkoudesta on seuraavissa Microsoftin Web-sivustoissa: Saat lisätietoja Microsoftin näennäislaitteesta napsauttamalla alla olevaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
169803 INFO: Microsoft VM:n aiempien toimitusmuotojen luettelo (tämä artikkeli saattaa olla englanninkielinen)
Uusimmat Microsoft Knowledge Base -artikkelit ja muut tukitiedot Visual J++:sta ja SDK for Javasta ovat seuraavissa Microsoftin Web-sivustoissa:
suojauskorjaus
Ominaisuudet

Artikkelin tunnus: 300845 – Viimeisin tarkistus: 09/30/2004 15:54:00 – Versio: 7.3

Microsoft Virtual Machine for Java, Microsoft Virtual Machine for Java

  • kbbug kbfix kbsecvulnerability kbwin2000sp3fix kbjava kbsecurity kbsecbulletin kbsechack KB300845
Palaute
pt"> Asimov.clickstreamTracker.init();
Paraguay - Español
Venezuela - Español
//c1.microsoft.com/c.gif?DI=4050&did=1&t=">mentsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> >ow.location.protocol) + "//c.microsoft.com/ms.js'><\/script>");