Suojauspäivitys 16.8.2000
Tässä päivityksessä on mukana useita Windows Me:n julkistamisen jälkeen julkistettuja, Internet Explorerin suojausongelmia korjaavia päivityksiä. Asiasta on lisätietoja Microsoft Security Bulletin -tiedotteessa MS00-055. Lataamalla päivityksen korjaat Internet Explorerin Scriptlet Rendering- ja Frame Domain Verification -suojausongelmat ja useita muita suojausongelmia.
Tämä päivitys korjaa seuraavat suojausongelmat:
- Scriptlet Rendering -suojausongelma. ActiveX®-komponentti, jota käytetään komentosarjojen suorittamiseen, on käytännössä HTML-koodin muunnosmoduuli. Se voi kuitenkin muuntaa minkä tahansa tiedostotyypin. Jos epärehellinen Web-sivuston ylläpitäjä lähettää vääriä komentosarjatietoja saadakseen käyttäjän tietokoneen tallentamaan sellaisen tiedoston kiintolevylle, jonka nimen ylläpitäjä tietää, ylläpitäjä voi muuntaa tiedoston käyttämällä komentosarjojen suorittamiskomponenttia. Näin komentosarja voidaan suorittaa paikallisen tietokoneen vyöhykkeessä, joten komentosarja voi käsitellä käyttäjän paikallisen tiedostojärjestelmän tiedostoja.
- Uusi muunnelma Frame Domain Verification -suojausongelmasta. Frame
Domain Verification -suojausongelma johtuu kahdesta toiminnosta, jotka eivät valvo oikein sellaisten kehysten erottelua, jotka sijaitsevat samassa ikkunassa, mutta jotka tulevat eri toimialueilta. Uusi muunnelma johtuu siitä, että on olemassa kolmaskin toiminto, jossa on sama ongelma. Ongelman vuoksi epärehellinen Web-sivuston ylläpitäjä voi avata kaksi kehystä, toisen Web-sivuston toimialueella ja toisen käyttäjän paikallisessa tiedostojärjestelmässä, ja siirtää tietoja jälkimmäisestä kehyksestä edelliseen.
Kummankin suojausongelman hyödyntäminen vaatii sen, että epärehellinen Web-sivuston ylläpitäjä tietää tai arvaa sellaisten tiedostojen tarkan nimen ja polun, joita hän haluaa tarkastella. Vaikka näin olisikin, Web-sivuston ylläpitäjä voi tarkastella vain sellaisia tiedostoja, jotka voidaan avata selaimessa (esimerkiksi .txt- tai .doc-tiedostoja, ei .exe- tai .dat-tiedostoja). Jos Web-sivusto on vyöhykkeessä, jossa aktiiviset komentosarjat on poistettu käytöstä, kumpaakaan suojausongelmaa ei voi hyödyntää.
Lisätietoja näistä ongelmista on Microsoft Security Bulletin -tiedotteessa MS00-055. (Sivusto on englanninkielinen.)
Tämä päivitys sisältää myös useita aikaisempia päivityksiä, jotka korjaavat suojausongelmat, joita käsitellään Microsoft Security Bulletin -tiedotteissa MS00-033, MS00-039, MS00-049 ja MS00-042 (viimeinen koskee vain Internet Explorer 5.5:tä).
(Nämä sivustot ovat englanninkielisiä.)
Järjestelmävaatimukset
Tämä päivitys koskee Windows Millennium Editionia (Windows Me).
Käyttäminen
Viimeistele asennus käynnistämällä tietokone uudelleen.
Tämän osan asennusta ei voi poistaa.