Es ist ein Update verfügbar, um Cross-Site-Scripting (XSS) in MBAM zu beheben
Symptome
In diesem Artikel wird ein Hotfix beschrieben, der ein Problem behebt, bei dem nicht autorisierte Skripts auf Microsoft BitLocker Administration and Monitoring (MBAM)-Webseiten ausgeführt werden können. Bevor Sie das Update installieren, kann ein Skript eines Benutzers (Benutzer A) auf dem Computer eines anderen Benutzers (Benutzer B) ausgeführt werden. Das Skript kann ausgeführt werden, wenn Benutzer B die MBAM-Hardwareverwaltungswebseite anzeigt. Das Skript kann die Webseite ändern. Oder das Skript kann es Benutzer A ermöglichen, Aktionen im Webbrowser von Benutzer B auszuführen.
Ursache
Dieses Problem tritt auf, weil die MBAM-Hardwareverwaltungswebseite Informationen nicht codiert, bevor sie auf der Webseite angezeigt werden.
Auflösung
Methode 1
Um dieses Problem zu beheben, empfehlen wir ein Upgrade auf MBAM 2.0 oder eine neuere Version. Weitere Informationen finden Sie auf der folgenden Microsoft-Website:
Methode 2
Um dieses Problem zu beheben, ersetzen Sie die Hardwareverwaltungswebseite (Hardware.aspx) auf der MBAM HelpDesk-Webseite durch eine sichere Version der Datei Hardware.aspx. Gehen Sie dazu folgendermaßen vor:
Laden Sie das Paket von der folgenden Microsoft-Website herunter:
Laden Sie das Paket jetzt herunter. Extrahieren Sie im ZIP-Dateipaket die Datei „Hardware.aspx", die der installierten MBAM-Version entspricht.
MBAM-Version
Webseite korrigiert
MBAM 1.0.1237.1
MBAM 1.0\Hardware.aspx
MBAM 1.0.2001.1
MBAM 1.0R1\Hardware.aspx
Suchen Sie den Installationsort der MBAM HelpDesk-Website. Verwenden Sie dazu eine der folgenden Methoden:
Suchen Sie den Pfad der Website im folgenden Stammordner der Internetinformationsdienste (IIS). Dies ist der Standardspeicherort der Website:
C:\inetpub\Malta BitLocker Management Solution\Helpdesk-WebsiteWenn der Pfad der Website nicht festgelegt ist, verwenden Sie den folgenden Registrierungsschlüssel, um den Installationsort der Website zu finden: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft BitLocker Administration and Monitoring\Setup\WebsiteInstallPath
Erstellen Sie eine Kopie der Datei „Hardware.aspx" im Verzeichnis der MBAM HelpDesk-Website. Speichern Sie die Kopie dann in einem Verzeichnis, das nicht mit der Website zusammenhängt. Speichern Sie die Kopie beispielsweise auf dem Desktop.
Ersetzen Sie die Datei „Hardware.aspx" im Verzeichnis der MBAM HelpDesk-Website, indem Sie die Datei „Hardware.aspx" verwenden, die Sie extrahiert haben.
Voraussetzungen
Um dieses Update anzuwenden, müssen Sie MBAM 1.0 ausführen.
Registrierungsinformationen
Um dieses Update anzuwenden, müssen Sie keine Änderungen an der Registrierung vornehmen.
Neustartanforderung
Sie müssen den Computer nach der Installation dieses Updates nicht neu starten.
Aktualisieren Sie die Ersatzinformationen
Dieses Update ersetzt kein zuvor veröffentlichtes Update.
Status
Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Gilt für" aufgeführt sind.
No comments:
Post a Comment