Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Windows 2000/XP PostMessage : Divulgation de Mot de Passe

21/01/2007 03H07
Référence Secunia : SA8329 
Date de publication : 2003-03-18

Risque : Non Critique. Niveau 2 sur 5.
Impact : Exposition de données sensibles
Lieu : Système local


Solutions :
Non corrigée

OS :
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professionnel
Microsoft Windows 2000 Serveur
Microsoft Windows XP Edition Familiale
Microsoft Windows XP Professionnel

Description :
Une vulnérabilité de divulgation d'informations a été identifiée dans Windows 2000 et Windows XP, qui pourrait être exploitée par un utilisateur local malicieux pour prendre connaissance d'informations sensibles.

La vulnérabilité est causé par une erreur de contrôle d'accès dans le Windows API, qui permet a program en utilisant the PostMessage function pour envoyer EM_SETPASSWORDCHAR messages à la queue de messages of dialog boxes owned par d'autres processus. Cela pourrait être exploité pour divulguer masked mots de passe en construisant un mot de passe révèle program.

Ceci type de programs ont précédemment été connu pour les autres versions de Windows, mais ont not existed pour Windows 2000/XP, depuis the SendMessage function exploitée dans ces programmes was secured dans Windows 2000/XP.


Solutions :
Permettre uniquement aux utilisateurs de confiance d'accéder à computers et ne pas télécharger et install programs depuis des sources non fiables. Futhermore, ne pas rely on programs masking mots de passe.


Vulnérabilité découverte par :

Palan




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.