CERTA-2001-AVI-039
Vulnerability from certfr_avis

Un utilisateur ayant un accès sur une machine utilisant le système de protection des fichiers compressés sous Windows Plus!98 ou Windows Millenium Edition peut avoir accès à la liste des mots de passe de ces fichiers.

Description

Windows Plus!98 est une suite d'utilitaires permettant d'étendre les facultés de Windows 98 et 98 deuxième édition. Un de ces utilitaires permet de faire de la compression de fichiers en y associant un mot de passe. Cette fonctionnalité est également présente sous Windows Millenium Edition.

Lors de la compression des données, les mots de passe sont stockés sur la machine sous le répertoire Windows, dans le fichier dynazip.log.

Un utilisateur mal intentionné peut, dans le cas où il a accès à ce repertoire, récupérer ce fichier et découvrir ainsi la liste des mots de passe.

Solution

  • Télécharger le correctif (version US) sur le site Microsoft :

    • Windows Plus! 98 :

      http://download.microsoft.com/download/win98/update/147115/w98/en-us/252694usa8.exe

    • Windows Millenium Edition :

      http://download.microsoft.com/download/winme/update/14715/winme/en-us/252694usam.exe
      • Supprimer le fichier dynazip.log dans le répertoire Windows ;
      • Changer tous les mots de passe des fichiers compressés.
None
Impacted products
Vendor Product Description
Microsoft Windows Microsoft Windows Millenium Edition.
Microsoft Windows Microsoft Plus! 98 ;
References
Bulletin Microsoft MS01-019 None vendor-advisory
Bulletin Microsoft : - other

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft Windows Millenium Edition.",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Plus! 98 ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nWindows Plus!98 est une suite d\u0027utilitaires permettant d\u0027\u00e9tendre les\nfacult\u00e9s de Windows 98 et 98 deuxi\u00e8me \u00e9dition. Un de ces utilitaires\npermet de faire de la compression de fichiers en y associant un mot de\npasse. Cette fonctionnalit\u00e9 est \u00e9galement pr\u00e9sente sous Windows\nMillenium Edition.\n\nLors de la compression des donn\u00e9es, les mots de passe sont stock\u00e9s sur\nla machine sous le r\u00e9pertoire Windows, dans le fichier dynazip.log.\n\nUn utilisateur mal intentionn\u00e9 peut, dans le cas o\u00f9 il a acc\u00e8s \u00e0 ce\nrepertoire, r\u00e9cup\u00e9rer ce fichier et d\u00e9couvrir ainsi la liste des mots de\npasse.\n\n## Solution\n\n-   T\u00e9l\u00e9charger le correctif (version US) sur le site Microsoft :\n    -   Windows Plus! 98 :\n\n            http://download.microsoft.com/download/win98/update/147115/w98/en-us/252694usa8.exe\n\n    -   Windows Millenium Edition :\n\n            http://download.microsoft.com/download/winme/update/14715/winme/en-us/252694usam.exe\n-   Supprimer le fichier dynazip.log dans le r\u00e9pertoire Windows ;\n-   Changer tous les mots de passe des fichiers compress\u00e9s.\n",
  "cves": [],
  "initial_release_date": "2001-03-28T00:00:00",
  "last_revision_date": "2001-03-28T00:00:00",
  "links": [
    {
      "title": "Bulletin Microsoft :",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS01-019.asp"
    }
  ],
  "reference": "CERTA-2001-AVI-039",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-03-28T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Compromission des mots de passe"
    }
  ],
  "summary": "Un utilisateur ayant un acc\u00e8s sur une machine utilisant le syst\u00e8me de\nprotection des fichiers compress\u00e9s sous Windows Plus!98 ou Windows\nMillenium Edition peut avoir acc\u00e8s \u00e0 la liste des mots de passe de ces\nfichiers.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans la protection des fichiers compress\u00e9s sous Windows Plus!98 et Me",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin Microsoft MS01-019",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.