Удаленное выполнение произвольного кода в Microsoft Outlook 2002
| Дата публикации: | 09.03.2004 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 2153 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Microsoft Office XP
Microsoft Outlook 2002 |
| Уязвимые версии: Microsoft Outlook 2002
Описание: Уязвимость обнаружена в Outlook 2002. Злонамеренный пользователь может выполнить XSS нападение и выполнить произвольный код в Local Security Zone. Программа не проверяет параметр "mailto" перед его использованием во время запуска Outlook 2002. В результате возможно внедрить последовательность символов """ в "mailto" URI, чтобы внедрить произвольный код сценария, который будет выполнен когда Outlook запускает "Outlook Today" страницу. Внедренный код сценария будет выполнен в Local Security Zone. Уязвимость может эксплуатироваться через злонамеренный HTML документ, типа Web страницы или HTML email сообщения. Для эксплуатации уязвимости не требуется взаимодействие с пользователем. URL производителя: http://www.Microsoft.com Решение: Установите соответствующее обновление: Microsoft Office XP Service Pack 2: http://www.microsoft.com/downloads/details.aspx?FamilyId=52F1A951-24DB-44A5-9475-EA5D302BCA6A&displaylang=en Microsoft Outlook 2002 Service Pack 2: http://www.microsoft.com/downloads/details.aspx?FamilyId=52F1A951-24DB-44A5-9475-EA5D302BCA6A&displaylang=en |
|
| Ссылки: | Microsoft Outlook "mailto:" Parameter Passing Vulnerability |