Выполнение произвольных сценариев в Windows Explorer
| Дата публикации: | 21.04.2005 |
| Дата изменения: | 24.03.2009 |
| Всего просмотров: | 1089 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server Microsoft Windows 2000 Advanced Server Microsoft Windows 2000 Datacenter Server |
| Уязвимые версии: Windows 2000
Описание: Уязвимость существует в библиотеке 'webvw.dll' из-за недостаточной фильтрации имени автора при отображении документа. Более того, поле e-mail автоматически преобразовывается в ссылку ‘mailto:’. Удаленный пользователь может создать специальным образом документ, при клике на который будет выполнен произвольный сценарий (при условии, что режим Web View разрешен). Пример:
a@b' style='background-image:url( URL производителя: www.microsoft.com Решение: Установите последнюю версию с сайта производителя. Журнал изменений: |
|
| Ссылки: | File Selection May Lead to Command Execution. |