Уязвимость в Certificate Enrollment Control позволяет удаление цифровых сертификатов
| Дата публикации: | 29.08.2002 |
| Всего просмотров: | 1295 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Все версии Windows поставляются с элементом ActiveX управления, известным как Certificate Enrollment Control, который отвечает за обработку Web сертификатов (PKCS #10). Уязвимость, обнаруженная в управлении, позволяет Web странице через весьма сложный процесс создать условие, при котором возможно удаление сертификата на системе пользователя. Нападающий, успешно эксплуатирующий эту уязвимость, может уничтожить доверенные корневые сертификаты, EFS кодированные сертификаты, почтовые сертификаты и любые другие на системе, таким образом, препятствуя пользователю их использовать. Уязвимость может использоваться через Web страницу или почтовое HTML сообщение. Выпущенный патч также устраняет менее серьезную уязвимость в управлении SmartCard Enrollment. Это управление поставляется с Windows 2000 и Windows XP. Уязвимость обнаружена в Microsoft Windows 98, Microsoft Windows 98 Second Edition, Microsoft Windows Millennium, Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP |