Удаленное выполнение произвольного кода в Microsoft Internet Explorer
- Дата публикации:
- 09.06.2004
- Всего просмотров:
- 1057
- Опасность:
- Высокая
- Наличие исправления:
- Количество уязвимостей:
- 1
- CVSSv2 рейтинг:
- CVE ID:
- Нет данных
- Вектор эксплуатации:
- Воздействие:
- CWE ID:
- Нет данных
- Наличие эксплоита:
- Нет данных
- Уязвимые продукты:
Описание: Две уязвимости обнаружено в Internet Explorer. В комбинации с другими известными уязвимостями, удаленный атаюкущий может скомпрометировать систему целевого пользователя.
1. Вариант "ms-its:" local resource access уязвимости может эксплуатироваться через специально обработанный URL в "Location:" HTTP заголовке, чтобы открыть локально установленный "CHM" help файл:
URL:ms-its:C:\WINDOWS\Help\iexplore.chm::/iegetsrt.htm2) XSS уязвимость может эксплуатироваться для выполнения файлов в "Local Machine" зоне безопасности.
Уязвимость может эксплуатироваться через специально обработанную HMTL страницу или e-mail сообщение.
Уязвимость в настоящее время используется несколькими программами-шпионами.
URL производителя: http://www.Microsoft.com
Решение:Удалите "ms-its:" URI обработчик
Ссылки:
Internet explorer 6 execution of arbitrary code (An analysis of the 180 Solutions Trojan)