Security Lab

Уязвимость в обработке drag and drop событий в Microsoft Internet Explorer

Дата публикации:23.08.2004
Дата изменения:17.10.2006
Всего просмотров:1798
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.x
Уязвимые версии: Microsoft Internet Explorer 5.01-6.0

Описание: Уязвимость в Microsoft Internet Explorer позволяет злонамеренному пользователю скомпрометировать систему целевого пользователя.

Уязвимость связанна с недостаточной проверкой drag and drop событий, произведенных из "Internet" зоны к локальным ресурсам. Злонамеренный Web сайт может, например, положить произвольный выполняемый файл в папку автозагрузки, который будет выполнен при следующем запуске Windows.

Уязвимость проверена на Internet Explorer 6.0 и Microsoft Windows XP SP1/SP2 со всеми исправлениями.

Пример/Эксплоит: http://www.malware.com/wottapoop.html

URL производителя: http:/www.Microsoft.com

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: What A Drag II XP SP2