| Microsoft Security Bulletin MS03-006 Fehler in Windows Me Help and Support Center. |
Jetzt downloaden |
Microsoft Security Bulletin MS03-006 Ranking & Zusammenfassung
- Name des Herausgebers:
- Microsoft
- Website des Verlags:
- http://www.microsoft.com/
Microsoft Security Bulletin MS03-006 Stichworte
Microsoft Security Bulletin MS03-006 Beschreibung
Von Microsoft: Help- und Support-Center bietet eine zentrale Anlage, über die Benutzer Unterstützung für verschiedene Themen erhalten können. Zum Beispiel bietet es eine Produktdokumentation, Unterstützung bei der Ermittlung der Hardwarekompatibilität, den Zugriff auf Windows Update, Online-Hilfe von Microsoft und andere Unterstützung. Benutzer und Programme können URL-Links zum Help- und Support-Center ausführen, indem Sie das Präfix "HCP: //" in einem URL-Link anstelle von "http: //" verwenden. Eine Sicherheitsanfälligkeit ist in der Windows-ME-Version des Help- und Support Centers vorhanden, und die Ergebnisse, da der URL-Handler für das Präfix "HCP: //" einen nicht markierten Puffer enthält. Ein Angreifer könnte die Sicherheitsanfälligkeit nutzen, indem er eine URL erstellt, die, wenn der Benutzer geklickt, den Code des Angreifers S-Wahl im Kontext des lokalen Computers ausführen würde. Die URL könnte auf einer Webseite gehostet werden oder direkt an den Benutzer in E-Mail gesendet werden. Wenn in dem Web-basierten Szenario, in dem ein Benutzer dann auf die auf einer Website gehostete URL geklickt hat, konnte ein Angreifer die Möglichkeit haben, Dateien, die bereits auf dem lokalen Computer vorhanden sind, zu lesen oder zu starten. Bei einem E-Mail-Borne-Angriff, wenn der Benutzer Outlook Express 6.0 oder Outlook 2002 in ihren Standardkonfigurationen in ihren Standardkonfigurationen oder in Verbindung mit dem Outlook 98 oder 2000 in Verbindung mit dem Outlook E-Mail-Sicherheitsupdate verwendet, konnte ein Angriff nicht automatisiert werden und die Der Benutzer muss immer noch auf eine URL klicken, die in E-Mail gesendet wird. Wenn der Benutzer jedoch keine Outlook Express 6.0 oder Outlook 2002 in ihren Standardkonfigurationen oder Outlook 98 oder 2000 in Verbindung mit dem Outlook E-Mail-Sicherheitsupdate verwendet hat, kann der Angreifer dazu führen, dass der Angreifer automatisch ausgelöst wird, ohne dass der Benutzer auf eine URL klicken muss in einer E-Mail enthalten.
Microsoft Security Bulletin MS03-006 Zugehörige Software