Security Lab

Выполнение произвольных команд в Microsoft Visual FoxPro

Дата публикации:05.09.2002
Всего просмотров:1319
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Обычно, когда устанавливается программа, она должна зарегистрировать себя в Internet Explorer. Это позволяет программе определять, как Internet Explorer должен обрабатывать файлы, связанные с этой программой и упомянутые на Web странице, – например, определять, нужно ли пользователю выдавать диалог предупреждения перед открытием файла.

Visual FoxPro 6.0 не выполняет такую регистрацию, что приводит к ситуации, в которой web-страница может автоматически запускать приложение Visual FoxPro (то есть.app файл). В большинстве случаев, это не приводит к уязвимости защиты, из-за способа, которым Visual FoxPro определяет имя файла. Т.е. в этом случае FoxPro запуститься, но .app файл не будет выполнен. Однако, если имя файла приложения было создано специфическим способом, вторая ошибка (связанная с тем, как Visual FoxPro 6.0 определяет имя файла приложения), позволяет не только запустить FoxPro, но выполнить злонамеренное приложение.

Уязвимость может использоваться через злонамеренную Web страницу или почтовое сообщение против пользователей, у которых установлен Visual FoxPro 6.0 runtime. Уязвимость позволяет выполнять системыне команды с привилегиями текущего пользователя.

Уязвимость обнаружена в Microsoft Visual FoxPro 6.0