计算机技术论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

  • 欢迎访问 计算机技术论坛-电脑迷与初学者的家园!由于论坛管理严格,新注册会员可能遇到各种问题,无法解决的请发邮件 admin@jsjbbs.cn
查看: 3250|回复: 1

微软Windows2000家族系列产品存在绕过登陆验证机制漏洞

[复制链接]
发表于 2009-2-5 10:34:38 | 显示全部楼层 |阅读模式
1。出现登陆界面的时候,按Ctrl+Shift调出中文输入方法。如果是微软拼音的话,继续按Ctrl+Shift来调整到其他输入方法。 2。在输入法状态栏上点鼠标右键,然后选输入法帮助。然后选择“打印”,“查找打印机”,任意输入一不存在的打印机名,会出现一带有帮助按钮的错误提示;点击该帮助按钮,便出现了WIN2000指南,此时点WEB帮助,出现一个IE浏览器。 3。在浏览器窗口中输入c:\,可以显示所有C盘内容,可以删改,创建文件,修改文件属性,运行程序等。 4。如果打了sp1的windows2000,一样存在目录浏览漏洞。可以删除,创建和修改文件属性。  建议: 在微软公司还未提供正式补丁包前,isbase安全小组仅提供紧急建议:
一、删除所有微软Windows2000提供的输入方法。
智能ABC输入法: WINABC.IME
微软拼音输入法: PINTLGNT.IME
内码输入法: WINGB.IME
全拼输入法: WINPY.IME
双拼输入法: WINSP.IME
郑码输入法: WINZM.IME
并且删除与输入方法相关的帮助文件。
输入法操作指南:WINIME.CHM
双拼输入法操作指南:WINSP.CHM
郑码输入法:WINZM.CHM
全拼输入法:WINPY.CHM
微软拼音输入法:PINTLGNT.CHM
如果需要输入方法,可以安装其他的第三方输入方法。
二、如果Windows2000作为Server在internet上开放,建议暂时关闭Terminal Service Server服务。

相关信息:

微软方面已经对此发出公告。虽然强调需要物理接触才能实现这个漏洞。但现实情况表明,能够实现这个漏洞的机会很多。
1。利用Terminal Service Server服务,可以把这个本地漏洞变为远程实现。 2。服务器版本的Windows2000已经被大量采用。如果许多服务器托管的机房,很多不同商家的服务器都可能被物理接触。这类担当要商业角色的Web Sites的安全尤为重要,希望微软尽快给中国用户一个满意的答复。
3。2000-9-29日微软发出正式补丁包(http://www.microsoft.com/technet/security/bulletin/MS00-069.asp)     中文版本Win2000系列补丁包: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24631
     英文版本Win2000系列补丁包: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24627
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

无图版|手机版|计算机技术论坛 JSJBBS.CN @ 2008-2024 ( 鲁ICP备17021708号 )

技术支持 : 北京康盛新创科技有限责任公司

快速回复 返回顶部 返回列表