Alle versies van Windows worden geleverd met een ActiveX-besturingselement bekend als de Certificaatinschrijving Control, waarvan het doel is om Web-based certificaat inschrijvingen mogelijk te maken. De regeling bevat een fout dat een webpagina in staat kan stellen, door middel van een zeer complex proces, om de controle op een manier die certificaten systeem? S zou verwijderen van een gebruiker te roepen. Een aanvaller die het beveiligingslek misbruikt kon corrupte vertrouwde basiscertificaten, EFS encryptie-certificaten, e-mail ondertekenen van certificaten, en alle andere certificaten in het systeem, waardoor de gebruiker het voorkomen van het gebruik van deze functies.
Een nieuwe versie van het besturingselement beschikbaar die de kwetsbaarheid corrigeert en kunnen via de patch installeren. Zoals besproken in de sectie Voorbehoud, zullen klanten die websites die de Certificaatinschrijving Controle gebruiken opereren moeten kleine herzieningen om hun webapplicaties te maken met het oog op de nieuwe regeling te gebruiken. Microsoft Knowledge Base-artikel Q323172 beschrijft hoe dit te doen. Bovendien, de patch heeft een soortgelijke, maar minder ernstige kwetsbaarheid ontdekt in Smartcardinschrijving. Deze controle wordt geleverd met Windows 2000 en Windows XP. . Een nieuwe versie van deze controle is ook voorzien
Eisen
Windows 2000
Reacties niet gevonden