Около двух недель назад появилась интересная информация " Hacking with mhtml protocol handler ". Как оказалось очередной 0-дей в обработке MHTML, на этот раз уязвимость кроется в обработке MIME-formatted запросов. При определенных условиях злоумышленник может внедрить js-код, который выполниться на клиентской стороне. Последствия могут быть разные, например похищение аутентификационных данных для популярных сервисов или банальный XSS. Работает уязвимость только на IE, но зато для всех версий и видне начиная с ХР и выше.
Дальше »