Internet Explorer и Access позволяют макросам автоматически выполняться

Дата публикации:
14.02.2002
Всего просмотров:
1640
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: GFI недавно обнаружел уязвимость защиты в Internet Explorer, которая позволяет злонамеренному пользователю выполнять произвольный код при попытке проссмотреть Web сайт или прочитать электронное сообщение.

Проблема связанна с внедрением VBA кода в файл базы данных Access (.mdb), файл базы данных электронной почты Outlook Express, или файл Multipart HTML (mht). При обращении к почтовому файлу, используя IE, вложение может быть автоматически выполнено без каких либо предупреждений.

Эксплуатация будет работать независимо от уровня защиты (GFI, проверил с High Security и Restricted Zone).

Уязвимость также может использоваться через электронное сообщение, используя тэг iframe или используя Active Scripting для вызова злонамеренного файла через HTML почту, позовляя IE автоматически получить доступ к эксплуатирующемуся EML файлу.

Уязвимость найдена в

  • Microsoft Access
  • Internet Explorer 5.0-6.0
  • Outlook Express 98
  • Outlook Express 2000
Патч пока не выпущен.
или введите имя

CAPTCHA