Une mise à jour est disponible pour corriger un script inter-site (XSS) dans MBAM

Symptômes

Cet article décrit un correctif qui résout un problème dans lequel les scripts non autorisés peuvent exécuter sur les pages Web Microsoft BitLocker Administration et de surveillance (MBAM). Avant d’installer la mise à jour, un script à partir d’un utilisateur (utilisateur A) peut s’exécuter sur l’ordinateur d’un autre utilisateur (utilisateur B). Exécution du script lorsque l’utilisateur B visualise la page Web Administration de MBAM matériel. Le script peut modifier la page Web. Ou bien, le script peut laisser les actions d’effectuer un utilisateur dans le navigateur web de l’utilisateur B.

Cause

Ce problème se produit parce que la page Web Administration de MBAM matériel ne crypte pas les informations avant de l’afficher sur la page Web.

Résolution

Méthode 1
Pour résoudre ce problème, nous vous conseillons de changer pour MBAM 2.0 ou une version ultérieure. Pour plus d’informations, consultez le site Web Microsoft suivant :
Méthode 2
Pour résoudre ce problème, remplacez la page Web de gestion du matériel (Hardware.aspx) sur la page Web de support technique de MBAM à l’aide d’une version sécurisée du fichier Hardware.aspx. Pour ce faire, procédez comme suit :
  1. Télécharger le package à partir du site Web Microsoft suivant :
    Download Télécharger le package maintenant.
  2. Dans le package de fichier .zip, extrayez le fichier Hardware.aspx qui correspond à la version de MBAM qui est installé.
    Version MBAMPage Web fixe
    1.0.1237.1 MBAMMBAM 1.0\Hardware.aspx
    1.0.2001.1 MBAMMBAM 1.0R1\Hardware.aspx
  3. Recherchez l’emplacement d’installation du site Web du support technique de MBAM. Pour ce faire, utilisez une des méthodes suivantes :
    • Recherchez le chemin d’accès du site Web dans le dossier racine de Internet Information Services (IIS) suivant. Il s’agit de l’emplacement par défaut du site Web :
      Site Web du support de Solution\Help de C:\inetpub\Malta BitLocker gestion
    • Si le chemin d’accès du site Web n’est pas définie, utilisez la clé de Registre suivante pour localiser l’emplacement d’installation de site Web :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft BitLocker Administration et Monitoring\Setup\WebsiteInstallPath
  4. Créez une copie du fichier Hardware.aspx dans le répertoire du site Web du support technique de MBAM. Ensuite, enregistrez la copie vers un répertoire qui n’est pas lié au site Web. Par exemple, enregistrer la copie sur le bureau.
  5. Remplacez le fichier Hardware.aspx dans le répertoire du site Web du support technique de MBAM en utilisant le fichier Hardware.aspx que vous avez extraites.

Conditions préalables

Pour appliquer cette mise à jour, vous devez exécuter MBAM 1.0.

Informations concernant le Registre

Pour effectuer cette mise à jour, il est inutile d'apporter des modifications au Registre.

Nécessite un redémarrage

Vous n'êtes pas obligé de redémarrer l'ordinateur après avoir appliqué cette mise à jour.

Mettre à jour les informations sur le remplacement

Cette mise à jour ne remplace pas de mise à jour précédemment publiée.

État

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».
Propriétés

ID d'article : 2830908 - Dernière mise à jour : 9 janv. 2017 - Révision : 1

Commentaires