Выполнение произвольных команд в Microsoft Visual FoxPro
| Дата публикации: | 05.09.2002 |
| Всего просмотров: | 1275 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Обычно, когда устанавливается программа, она должна зарегистрировать себя в Internet Explorer. Это позволяет программе определять, как Internet Explorer должен обрабатывать файлы, связанные с этой программой и упомянутые на Web странице, – например, определять, нужно ли пользователю выдавать диалог предупреждения перед открытием файла.
Visual FoxPro 6.0 не выполняет такую регистрацию, что приводит к ситуации, в которой web-страница может автоматически запускать приложение Visual FoxPro (то есть.app файл). В большинстве случаев, это не приводит к уязвимости защиты, из-за способа, которым Visual FoxPro определяет имя файла. Т.е. в этом случае FoxPro запуститься, но .app файл не будет выполнен. Однако, если имя файла приложения было создано специфическим способом, вторая ошибка (связанная с тем, как Visual FoxPro 6.0 определяет имя файла приложения), позволяет не только запустить FoxPro, но выполнить злонамеренное приложение. Уязвимость может использоваться через злонамеренную Web страницу или почтовое сообщение против пользователей, у которых установлен Visual FoxPro 6.0 runtime. Уязвимость позволяет выполнять системыне команды с привилегиями текущего пользователя. Уязвимость обнаружена в Microsoft Visual FoxPro 6.0 |