Partager via

Bulletin de sécurité

Bulletin de sécurité Microsoft MS00-061 - Critique

Correctif disponible pour la vulnérabilité « Money Password »

Publication : 25 août 2000 | Mise à jour : 14 octobre 2002

Version : 1.1

Publication initiale : 25 août 2000

Résumé

Microsoft a publié un correctif qui élimine une vulnérabilité de sécurité dans Microsoft® Money. La vulnérabilité peut permettre à un utilisateur malveillant d’obtenir le mot de passe d’un fichier de données Money.

Logiciels affectés :

  • Microsoft Money 2001
  • Microsoft Money 2000

Identificateur de vulnérabilité :CVE-2000-0777

Informations générales

Détails techniques

Description technique :

Microsoft Money fournit une fonctionnalité de protection par mot de passe qui empêche l’accès non autorisé à votre fichier Money. Toutefois, en raison de la façon dont le mot de passe est actuellement géré, le mot de passe peut être écrit en texte clair dans certaines conditions.

La vulnérabilité affecte uniquement les données Money stockées sur l’ordinateur local de l’utilisateur. Elle n’affecte pas la sécurité des services en ligne money de quelque manière que ce soit. En outre, un utilisateur malveillant aurait besoin d’obtenir un accès physique à un fichier affecté afin d’exploiter la vulnérabilité , il n’a pas pu être exploité à distance. Il est important de noter que la protection par mot de passe dans Money n’est pas destinée à remplacer le contrôle d’accès au niveau du fichier, et même en l’absence de cette vulnérabilité, les clients doivent protéger ces fichiers. Microsoft recommande aux utilisateurs de l’ordinateur de suivre les meilleures pratiques lors de la sécurisation de leurs systèmes, notamment en garantissant que les machines avec des données importantes sont physiquement sécurisées et ne partagent pas de fichiers de données importants avec des sources non approuvées ou inconnues.

Forum aux questions

Qu’est-ce que ce bulletin sur ?
Le Bulletin de sécurité Microsoft MS00-061 annonce la disponibilité d’un correctif qui élimine une vulnérabilité dans Microsoft® Money. Dans certaines conditions, la vulnérabilité peut permettre à un utilisateur malveillant d’obtenir le mot de passe d’un fichier de données Money. Microsoft s’engage à protéger les informations des clients et fournit le bulletin pour informer les clients de la vulnérabilité et de ce qu’ils peuvent faire à ce sujet.

Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité de compromission de confidentialité susceptible d’exposer le mot de passe d’un fichier de données Money. Si un utilisateur malveillant peut obtenir le mot de passe d’un fichier Money, il peut ouvrir le fichier Money, afficher les comptes de l’utilisateur et apporter toute modification que l’utilisateur lui-même pourrait apporter. Il existe plusieurs restrictions importantes à cette vulnérabilité. Pour permettre à un utilisateur malveillant de compromettre le mot de passe d’un fichier Money, il doit avoir déjà obtenu un accès physique au fichier de données Money. Il n’existe aucun moyen pour un utilisateur malveillant d’accéder à votre fichier de données Money via Internet via cette vulnérabilité et la sécurité des services en ligne Money n’est pas affectée.

Quelles sont les causes de la vulnérabilité ?
Cette vulnérabilité est due à la façon dont le mot de passe associé à un fichier Money est géré. Par conception, le mot de passe est chiffré dans le fichier ; toutefois, la vulnérabilité provoque l’écriture en texte clair dans certaines conditions.

Qu’est-ce que cette vulnérabilité permet à un utilisateur malveillant de faire ?
Si un utilisateur malveillant peut accéder à un fichier Money chiffré affecté par la vulnérabilité, il peut exploiter la vulnérabilité comme moyen d’apprendre le mot de passe au fichier. S’il pouvait le faire, il aurait un accès complet au contenu du fichier Money.

Quelle protection un mot de passe fournit-il ?
Un mot de passe est comme un verrou sur votre porte. Il fournit une protection contre les entrées non autorisées tout en vous permettant d’accéder. Toutefois, la protection par mot de passe dans Money n’est pas destinée à remplacer un mécanisme de contrôle d’accès. Autrement dit, même en l’absence de cette vulnérabilité, les clients doivent réglementer l’accès aux fichiers Money. Les clients utilisant Windows 95, 98 ou 98 Seconde Édition doivent s’assurer que les fichiers sont physiquement protégés ; Les utilisateurs windows NT et Windows 2000 doivent utiliser les mécanismes de contrôle d’accès intégrés pour empêcher d’autres utilisateurs d’accéder aux fichiers.

Comment un utilisateur malveillant obtiendrait-il un accès physique à mon fichier de données Money ?
Cette vulnérabilité ne permet pas à un utilisateur malveillant d’accéder physiquement au fichier. Il s’agit plutôt d’un problème d’ingénierie sociale. Il pourrait essayer de vous inciter à lui donner accès à votre ordinateur, ou, si le fichier a été stocké sur un disque de floppy, il pourrait simplement le voler.

Un utilisateur malveillant pourrait-il exploiter cette vulnérabilité via Internet ?
La vulnérabilité ne peut pas être exploitée à distance. Toutefois, si un utilisateur avait créé un partage, l’a rendu disponible pour les utilisateurs externes et placé un fichier Money affecté sur le partage, il peut être possible pour un utilisateur malveillant de récupérer le fichier, puis d’exploiter la vulnérabilité.

Cette vulnérabilité affecte-t-elle les mesures de sécurité pour l’activité en ligne, telles que le téléchargement des relevés, le paiement de facture et la synchronisation avec MSN Finances Central ?
Non. Cette vulnérabilité n’affecte pas la sécurité des données de l’utilisateur lorsqu’elle est connectée à Internet. Le logiciel des finances personnelles est extrêmement sécurisé. Avec la publication de ce correctif, les clients Money peuvent être assurés que leurs mots de passe sont chiffrés avec un chiffrement complet 128 bits , le niveau le plus élevé disponible. L’argent utilise également le chiffrement 128 bits pour protéger les données de fichiers sensibles et communiquer avec les banques, les services de paiement de facture, etc.

Je n’ai jamais protégé mon fichier de données Money par le passé, dois-je le faire maintenant ?
Oui. La protection par mot de passe garantit que vos données Money ne sont accessibles à personne d’autre, mais à vous.

J’utilise NT 4.0 ou Windows 2000, y a-t-il autre chose que je peux faire pour empêcher l’accès physique à mon fichier d’argent ?
Oui. Windows NT et Windows 2000 sont conçus pour fournir un accès au niveau du fichier. Les clients qui souhaitent protéger leur fichier Money de manière la plus sécurisée doivent utiliser Windows NT ou Windows 2000 sur une partition NTFS et utiliser les fonctionnalités de contrôle d’accès natif pour empêcher l’accès non autorisé au fichier.

Dois-je inscrire Money pour recevoir ce correctif ?
Non. Bien que Microsoft recommande d’inscrire Money, il n’est pas nécessaire de recevoir ce correctif.

Qui devez utiliser le correctif ?
Microsoft recommande à tous les utilisateurs Money 2000 et Money 2001 d’installer le correctif.

Que fait le correctif ?
Le correctif élimine la vulnérabilité en corrigeant la façon dont votre mot de passe est écrit dans le fichier de données Money.

Où puis-je obtenir le correctif ?
L’emplacement de téléchargement du correctif est fourni dans la section « Disponibilité des correctifs » du bulletin de sécurité.

Comment faire utiliser le correctif ?
L’article de la Base de connaissances contient des instructions détaillées pour appliquer le correctif à votre site.

Comment puis-je savoir si j’ai installé correctement le correctif ?
L’article de la Base de connaissances fournit un manifeste des fichiers dans le package de correctifs. Le moyen le plus simple de vérifier que vous avez installé correctement le correctif consiste à vérifier que ces fichiers sont présents sur votre ordinateur et qu’ils ont les mêmes tailles et dates de création que celles indiquées dans l’article Ko.

Qu’est-ce que Microsoft fait pour ce problème ?
Microsoft a fourni un correctif qui élimine la vulnérabilité.

  • Microsoft a fourni un bulletin de sécurité et ce FAQ pour fournir aux clients une compréhension détaillée de la vulnérabilité et de la procédure pour l’éliminer.
  • Microsoft a envoyé des copies du bulletin de sécurité à tous les abonnés au service de notification de sécurité produit Microsoft, un service de messagerie gratuit que les clients peuvent utiliser pour rester à jour avec les bulletins de sécurité Microsoft.
  • Microsoft a publié un article de la Base de connaissances expliquant plus en détail la vulnérabilité et la procédure.

Où puis-je en savoir plus sur les meilleures pratiques en matière de sécurité ?
Le site web Microsoft TechNet Security est le meilleur endroit pour obtenir des informations sur la sécurité Microsoft.

Comment faire obtenir un support technique sur ce problème ?
Les services de support technique Microsoft peuvent fournir de l’aide pour ce problème ou tout autre problème de support produit.

Disponibilité des retouches

Emplacements de téléchargement pour ce correctif Ce correctif est disponible pour le téléchargement automatique à l’aide de la fonctionnalité « Mettre à jour Internet Information » dans Money.

  1. Dans le menu Outils, cliquez sur Mettre à jour les informations Internet.
  2. Suivez les instructions à l’écran pour installer le correctif.
  3. Microsoft recommande aux utilisateurs de modifier leur mot de passe après avoir appliqué ce correctif comme meilleure pratique.

Informations supplémentaires sur ce correctif

Plateformes d’installation : consultez les références suivantes pour plus d’informations sur ce problème.

  • Article de la Base de connaissances Microsoft (Ko) Q272232, https :

Informations supplémentaires :

Accusés de réception

Microsoft remercie ken (https://www.ftusecurity.com) de signaler ce problème à nous et de travailler avec nous pour protéger les clients.

Prise en charge : il s’agit d’un correctif entièrement pris en charge. Les informations sur la communication avec les services de support technique Microsoft sont disponibles à l’adresse </https :>https :.

Ressources de sécurité : Le site web Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité :

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions:

  • V1.0 25 août 2000 : Bulletin créé.
  • V1.1 14 octobre 2002 : Bulletin mis à jour avec une nouvelle URL dans les accusés de réception.

Construit à 2014-04-18T13 :49 :36Z-07 :00</https :>