Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-306

[MS/Windows Me] Passwort für "Compressed Folders" wird in Klartext gespeichert
(2001-03-29 08:56:57+00)

Quelle: http://www.microsoft.com/technet/security/bulletin/MS01-019.asp

Microsoft Windows Plus! 98 sowie Windows Me besitzen ein Feature zur Verschlüsselung von komprimierten Dateien. Durch einen Implementationsfehler werden die Passwörter in Klartext abgelegt.

Betroffene Systeme

Typ der Verwundbarkeit
design flaw

Beschreibung
Microsoft Windows Me sowie Windows 98/98 Second Edition mit dem Plus! 98 Zusatz besitzen das Feature "Compressed Folders" welches zur Komprimierung und Verschlüsselung von Daten eingesetzt werden kann. Durch einen Implementationsfehler werden sensitive Informationen, darunter die Klartextpasswörter für die Verschlüsselung, in der Datei %windir%\dynazip.log abgelegt.

Gefahrenpotential
hoch (falls sensitive Daten mittels der Option "Compressed Folders" geschützt werden sollten)

Gegenmaßnahmen
Microsoft stellt einen Patch für die us-amerikanische Version von Windows 98 und Windows Me zur Verfügung.

Es muß zusätzlich die Datei dynazip.log im Windowsverzeichnis (%windir%) gelöscht werden.

Bemerkung
Die Verschlüsselung von sensitiven Daten sollte nicht mit dem Feature "Compressed Folders" durchgeführt werden. Alternativprodukte wie z.B. PGP/GnuPG sind zu bevorzugen.

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=306