Windows Explorer güvenlik açigi

Etkilenen Sistemler: Windows 2000 Professional, Server ve Advanced Server
Etkisi: Script kodlari çalistirma
Tipi: Giris onaylama problemi
 

Microsoft Windows Explorer’in kullandigi webvw.dll’de bir güvenlik açigi oldugu rapor edildi. Uzaktaki bir kullanici, Windows Explorer’da bir dosya seçildiginde istedigi script kodunu çalistirtabiliyor.

Web Görüntüsü (Web View) önizleme paneli bir dokümanin yazarinin ismini gösterirken düzgün filtreleme yapmiyor.

Bunun sonucunda uzaktaki kullanicilar özel hazirlanmis bir yazar ismine sahip bir doküman yaratarak istedikleri script kodlarini calistirabiliyor. Hedef kullanici dosyayi Windows Explorer’da Web View modunda iken seçerse kod çalistiriliyor. Dosyanin çalistirilmasi gerekmiyor.
Script kodu Local Computer Zone ayarlarinda çalisiyor. Windows Klasik ayarindaki klasörler bundan etkilenmiyor.

Çözüm:
Bir yama çikana kadar Tools -> Folder Options -> ’Use Windows classic folders’ seçilmesi tavsiye ediliyor