Security Lab

Совокупная заплата для Internet Explorer (Microsoft Security Bulletin)

Дата публикации:23.08.2002
Всего просмотров:897
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Microsoft выпустил совокупную заплату к IE 5.01, 5.5 и 6.0, которая устраняет шесть новых, недавно обнаруженных уязвимостей:
  • Переполнение буфера в обработчике Gopher протокола. Эта уязвимость частично была исправлена в MS02-027, и полностью сейчас.
  • Переполнение буфера в ActiveX управлении, который отвечает за отображение отформатированного текста. Уязвимость может использоваться для выполнения произвольного кода на системе пользователя.
  • Уязвимость в методе, которым Internet Explorer обрабатывает HTML директиву, которая отображает XML данные. Директива не правильно обрабатывает случай, когда XML источник данных переадресован к источнику данных в другом домене. Уязвимость позволяет злонамеренной Web странице обращаться к XML источникам данных в других доменах, к которым имел доступ пользователь.
  • Уязвимость в способе представления источника файла в диалоговом окне "File Download". Этот недостаток позволяет нападающему исказить источник файла, предлагаемого для загрузки, тем самым, ввести в заблуждения пользователя в принятии загрузки файла из недоверенного источника.
  • Уязвимость межсайтового скриптинга обнаружена неправильной обработке тэга “ Object”. В результате, уязвимость позволяет злонамеренному Web сайту действовать от имени других сайтов или читать файлы на системе пользователя.
  • Новый вариант уязвимости "Cross-Site Scripting in Local HTML Resource", первоначально обсужденный в MS02-023. Уязвимость позволяет нападающему создать Web страницу, которая будет выполнена в Local Computer zone.
Уязвимость обнаружена в Internet Explorer 5.0-6.0