CERTA-2001-AVI-039

Vulnerability from certfr_avis - Published: - Updated:

Un utilisateur ayant un accès sur une machine utilisant le système de protection des fichiers compressés sous Windows Plus!98 ou Windows Millenium Edition peut avoir accès à la liste des mots de passe de ces fichiers.

Description

Windows Plus!98 est une suite d'utilitaires permettant d'étendre les facultés de Windows 98 et 98 deuxième édition. Un de ces utilitaires permet de faire de la compression de fichiers en y associant un mot de passe. Cette fonctionnalité est également présente sous Windows Millenium Edition.

Lors de la compression des données, les mots de passe sont stockés sur la machine sous le répertoire Windows, dans le fichier dynazip.log.

Un utilisateur mal intentionné peut, dans le cas où il a accès à ce repertoire, récupérer ce fichier et découvrir ainsi la liste des mots de passe.

Solution

  • Télécharger le correctif (version US) sur le site Microsoft :

    • Windows Plus! 98 :

      http://download.microsoft.com/download/win98/update/147115/w98/en-us/252694usa8.exe

    • Windows Millenium Edition :

      http://download.microsoft.com/download/winme/update/14715/winme/en-us/252694usam.exe
      • Supprimer le fichier dynazip.log dans le répertoire Windows ;
      • Changer tous les mots de passe des fichiers compressés.
None
Impacted products
Vendor Product Description
Microsoft Windows Microsoft Windows Millenium Edition.
Microsoft Windows Microsoft Plus! 98 ;
References
Bulletin Microsoft MS01-019 None vendor-advisory
Bulletin Microsoft : - other

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft Windows Millenium Edition.",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Plus! 98 ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nWindows Plus!98 est une suite d\u0027utilitaires permettant d\u0027\u00e9tendre les\nfacult\u00e9s de Windows 98 et 98 deuxi\u00e8me \u00e9dition. Un de ces utilitaires\npermet de faire de la compression de fichiers en y associant un mot de\npasse. Cette fonctionnalit\u00e9 est \u00e9galement pr\u00e9sente sous Windows\nMillenium Edition.\n\nLors de la compression des donn\u00e9es, les mots de passe sont stock\u00e9s sur\nla machine sous le r\u00e9pertoire Windows, dans le fichier dynazip.log.\n\nUn utilisateur mal intentionn\u00e9 peut, dans le cas o\u00f9 il a acc\u00e8s \u00e0 ce\nrepertoire, r\u00e9cup\u00e9rer ce fichier et d\u00e9couvrir ainsi la liste des mots de\npasse.\n\n## Solution\n\n-   T\u00e9l\u00e9charger le correctif (version US) sur le site Microsoft :\n    -   Windows Plus! 98 :\n\n            http://download.microsoft.com/download/win98/update/147115/w98/en-us/252694usa8.exe\n\n    -   Windows Millenium Edition :\n\n            http://download.microsoft.com/download/winme/update/14715/winme/en-us/252694usam.exe\n-   Supprimer le fichier dynazip.log dans le r\u00e9pertoire Windows ;\n-   Changer tous les mots de passe des fichiers compress\u00e9s.\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin Microsoft :",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS01-019.asp"
    }
  ],
  "reference": "CERTA-2001-AVI-039",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-03-28T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Compromission des mots de passe"
    }
  ],
  "summary": "Un utilisateur ayant un acc\u00e8s sur une machine utilisant le syst\u00e8me de\nprotection des fichiers compress\u00e9s sous Windows Plus!98 ou Windows\nMillenium Edition peut avoir acc\u00e8s \u00e0 la liste des mots de passe de ces\nfichiers.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans la protection des fichiers compress\u00e9s sous Windows Plus!98 et Me",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin Microsoft MS01-019",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.