Microsoft Web Client NTLM Authentication Vulnerability Patch (Windows Me) 仕様
|
保護されたログオン資格情報を明らかにする可能性のあるセキュリティの脆弱性を排除します
Webエクステンダークライアント(WEC)は、Office 2000、Windows 2000、およびWindowsMeの一部として出荷されるコンポーネントです。 WECを使用すると、IEは、Windowsエクスプローラーを使用してディレクトリ内のファイルを表示および追加するのと同様に、Webフォルダーを介してファイルを表示および公開できます。実装上の欠陥により、WECはNTLM認証がいつ実行されるかに関するIEセキュリティ設定を尊重しません。代わりに、WECはそれを要求するすべてのサーバーでNTLM認証を実行します。ユーザーが悪意のあるユーザーのWebサイトを参照するか、サイトとのセッションを開始したHTMLメールを開くことによって、悪意のあるユーザーのWebサイトとのセッションを確立した場合、サイト上のアプリケーションがユーザーのNTLM資格情報を取得する可能性があります。悪意のあるユーザーは、オフラインのブルートフォース攻撃を使用してパスワードを取得したり、専用のツールを使用して、保護されたリソースにアクセスしようとしてこれらの資格情報の亜種を送信したりする可能性があります。