Esta actualização vai corrigir a vulnerabilidade de segurança relativa à autenticação NTLM do cliente Web, que ocorre no Windows 2000 e Office 2000, e está descrita no boletim de segurança da Microsoft MS01-001 ("Web Client NTLM Authentication"). Faça já a transferência desta actualização para impedir que um utilizador mal intencionado capture as suas credenciais de início de sessão.
Sob determinadas condições, esta vulnerabilidade permite a um operador de Web sites mal intencionado obter as credenciais criptograficamente protegidas de início de sessão de um utilizador visitante, uma vez que as definições de segurança para o WEC (Web Extender Client) estão com níveis incorrectos. A vulnerabilidade ocorre porque o WEC, que permite ao Internet Explorer ver e publicar ficheiros através de pastas Web, não adere às definições de segurança recomendadas no Internet Explorer e executa a autenticação NTLM para qualquer servidor que o solicite. Se um operador de Web site mal intencionado formatar um documento para pedir, automaticamente, a autenticação NTLM de um utilizador visitante, pode fazer com que o computador do utilizador envie as suas credenciais de autenticação. Uma vez reveladas as credencias, o operador pode também utilizar ferramentas especiais para determinar a palavra-passe do utilizador.
Para mais informações sobre esta vulnerabilidade, consulte o boletim de segurança Microsoft MS01-001. (Este site encontra-se em inglês.)
Nota: Esta actualização será incluída no Windows 2000 Service Pack 2.
Esta vulnerabilidade não afecta os computadores com versões do Internet Explorer anteriores à 5.0; além disso, é necessário utilizar, também, a funcionalidade de pastas Web.