Уязвимость в Windows XP

6/10/2005 11:34

Laszlo Toth обнаружил, что в ОС Windows XP существует уязвимость, позволяющая локальному пользователю получить важную системную информацию. Уязвимость присутсвует в т.н. сервисе Wireless Zero Configuration (предназначен для автоматической конфигурации IEEE 802.11-адаптеров для обеспечения беспроводной связи) и позволяет пользователю получить профайлы беспроводных устройств, используя функцию API "WZCQueryInterface()". Полученная информация содержит следующие сведения: SSIDs и WEP ключи или PMK (Pairwise Master Key), которые используются на стадии предварительного обмена ключей при аутентификации WPA (Wi-Fi Protected Access). Уязвимость подтверждена в обоих версиях (Home и Professional) с SP2. M$ обещает исправить уязвимость в новой версии Windows (написано Longhorn, по-видимому, теперь уже - Vista). Довольно примечательна история переписки автора с Microsoft и реакцией последней (уязвимость была обнаружена ещё в марте этого года).
Описание