首页 -> 安全研究
安全研究
绿盟月刊
绿盟安全月刊->第27期->最新漏洞
日期:2001-11-08
受影响的系统:
Microsoft Windows 2000 SP2
Microsoft Windows 2000 SP1
Microsoft Windows 2000
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 3184
Windows 2000 的RunAs服务允许一个用户以其它用户的身份执行命令,该服务存在一个
安全问题,可能导致用户敏感信息泄露。
当用户使用RunAs命令执行命令时,该用户必须提供要运行命令的用户帐号和密码,当
RunAs程序结束后,用户的这些敏感信息还存储在内存中,因此这些敏感信息可能会被
其它进程所获取。
<*来源:Camisade - Team RADIX (research@camisade.com)
参考:http://www.camisade.com/research/reports/radix1112200102.html
*>
--------------------------------------------------------------------------------
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 暂时停止使用或者删除RunAs服务
厂商补丁:
该漏洞的补丁将包含在Service Pack 3中,我们建议使用此软件的用户随时关注厂商的
主页以获取该补丁:
http://www.microsoft.com/
版权所有,未经许可,不得转载