此更新程序解决了 Windows 2000 和 Office 2000 中的“Web 客户机 NTLM 验证”安全漏洞,并在 Microsoft 安全公告 MS01-001 中讨论了该问题。立即下载以防止用心不良的用户取得您的验证凭据。
特殊条件下,此漏洞允许用心不良的网站操作员获取正在访问用户的密码保护登录的凭证,这是因为 Web Extender Client (WEC)的安全性设置被设为错误的级别。此漏洞存在是因为允许 Internet Explorer 通过“Web 文件夹”查看和发布文件的 WEC 没有遵循 Internet Explore 中建议的安全性设置,且它要对所有请求访问它的服务器都执行 NTLM 验证。如果用心不良的网站操作员格式化某个文档以自动请求正在访问用户的 NTLM 验证,这将导致用户计算机发送他或她的验证凭证。一旦该凭证被泄漏,操作员可以使用特殊的工具获取用户的密码。
关于此漏洞的详细信息,请阅读 Microsoft 安全公告 MS01-001。 (英文站点)。
注意 此更新将包括在 Windows 2000 Service Pack 2 中。
此漏洞不影响运行早于 Internet Explorer 5.0 版本的计算机;并且您必须使用了“Web 文件夹” 功能。