Security Lab

Обход ограничений на выполнение сценариев в Local Computer зоне в Microsoft Windows XP SP2

Дата публикации:22.08.2004
Всего просмотров:1934
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Microsoft Windows XP SP2

Описание: Уязвимость обнаружена в Microsoft Windows XP SP2. Пользователь может обойти ограничкения на выполнения сценариев в Local Computer зоне.

Пользователь может создать mhtml файл содержащий специально обработанное значение Content-Location, чтобы заставить Windows XP SP2 выполнить файл в Intranet зоне вместо Local Computer зоны. Если Content-Location ссылается на URL, который соответствует intranet URL (например, 'news://malware/'), в результате могут быть обойдены ограничения Windows XP SP2 на выполнение кода сценария в Local Computer зоне, так как выполнение кода сценария разрешене в Intranet зоне.

Пример/Эксплоит: http://www.securitylab.ru/_Exploits/2004/08/malware.sp2.zip

URL производителя:http://www.microsoft.com/technet/security/default.mspx

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: [Full-Disclosure] Microsoft Windows XP SP2