Обход ограничений безопасности на запуск активных сценариев в e SVG Viewer

Дата публикации:
09.10.2003
Дата изменения:
09.03.2009
Всего просмотров:
1214
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Adobe SVG Viewer 3.x
Уязвимые версии: Adobe SVG Viewer 3.0 и более ранние версии

Описание: Уязвимость обнаружена в Adobe SVG Viewer. Adobe SVG Viewer может использоваться для обхода ограничений безопасности на запуск активных сценариев в приложениях, использующих SVG Viewer WebBrowser control (например Internet Explorer).

Удаленный пользователь может сконструировать Scalable Vector Graphics (SVG) документ или HTML который, когда будет загружен целевым пользователем, выполнит активные сценарии на целевой системе, даже если запуск сценариев запрещен в настройках Internet Explorer. Как предполагается, SVG Viewer обеспечивает Document Object Model, который позволяет коду сценария управлять SVG документами, используя Microsoft JScript engine. Если HTML документ ссылается на SVG документ, то код сценария может контролировать родительский HTML документ, в обход ограничений безопасности Active Scripting в браузере целевого пользователя.

URL производителя: http://www.adobe.com/svg/overview/whatsnew.html

Решение: Установите обновленную (3.1) версию программы: http://www.adobe.com/svg/viewer/install/mainframed.html

Ссылки: Adobe SVG Viewer Active Scripting Bypass (GM#002-MC)
http://sec.greymagic.com/adv/gm002-mc/

или введите имя

CAPTCHA