certfr_avis - CERTA-2000-AVI-057

CERTA-2000-AVI-057

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité dans l'autorisation d'accès au partage de ressources permet à un utilisateur mal intentionné d'avoir accès à des fichiers censés être protégés par mots de passe.

Description

Les versions Windows 9x et Millenium fournissent un dispositif de protection par mots de passe pour les fichiers se trouvant dans des répertoires partagés. La vulnérabilité permet à un utilisateur mal intentionné de contourner cette protection et d'accèder en « contrôle total » à des fichiers appartenant à un autre utilisateur.

Windows NT et 2000, utilisant un principe de contrôle d'accès différent, ne sont pas touchés par cette vulnérabilité.

Solution

Correctif pour Windows 98 et 98SE (Version US) :

http://download.microsoft.com/download/win98SE/Update/11958/W98/EN-US/

Correctif pour Windows Millenium ( Version US) :

http://download.microsoft.com/download/winme/Update/11958/WinMe/EN-US/

Le correctif pour Windows 95 n'est pas disponible.

None

Impacted products

Vendor	Product	Description
Microsoft	Windows	Windows 98 ;
Microsoft	Windows	Windows 98SE ;
Microsoft	Windows	Windows Millenium.
Microsoft	Windows	Windows 95 ;

References

Title

Publication Time

Tags

Bulletin de sécurité Microsoft

None

vendor-advisory

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows 98 ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 98SE ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows Millenium.",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows 95 ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nLes versions Windows 9x et Millenium fournissent un dispositif de\nprotection par mots de passe pour les fichiers se trouvant dans des\nr\u00e9pertoires partag\u00e9s. La vuln\u00e9rabilit\u00e9 permet \u00e0 un utilisateur mal\nintentionn\u00e9 de contourner cette protection et d\u0027acc\u00e8der en \u00ab contr\u00f4le\ntotal \u00bb \u00e0 des fichiers appartenant \u00e0 un autre utilisateur.\n\nWindows NT et 2000, utilisant un principe de contr\u00f4le d\u0027acc\u00e8s diff\u00e9rent,\nne sont pas touch\u00e9s par cette vuln\u00e9rabilit\u00e9.\n\n## Solution\n\nCorrectif pour Windows 98 et 98SE (Version US) :\n\n    http://download.microsoft.com/download/win98SE/Update/11958/W98/EN-US/\n\n  \n  \n\nCorrectif pour Windows Millenium ( Version US) :\n\n    http://download.microsoft.com/download/winme/Update/11958/WinMe/EN-US/\n\n  \n  \n\nLe correctif pour Windows 95 n\u0027est pas disponible.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2000-AVI-057",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-10-11T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Acc\u00e8s aux donn\u00e9es"
    },
    {
      "description": "Contournement des r\u00e8gles de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans l\u0027autorisation d\u0027acc\u00e8s au partage de ressources\npermet \u00e0 un utilisateur mal intentionn\u00e9 d\u0027avoir acc\u00e8s \u00e0 des fichiers\ncens\u00e9s \u00eatre prot\u00e9g\u00e9s par mots de passe.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans les protections de fichiers sous Windows 9x et Me",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft",
      "url": "http://www.microsoft.com/technet/security/bulletin/ms00-72.asp"
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted