Выполнение произвольного кода через средства справочной системы Windows

03.10.2002 | 15:27
2 октября компания Microsoft выпустила бюллетень по безопасности MS02-055, сообщающий о серьезной уязвимости систем Microsoft Windows 98, Windows 98 Second Edition, Windows Millennium Edition, Windows NT 4.0, Windows NT 4.0 Terminal Server Edition, Windows 2000 и Windows XP.

Средства HTML Help в системах Windows включают ActiveX элемент, который обеспечивает большинство функций справочной системы. Одна из функций, доступная через этот элемент, содержит непроверяемый буфер, который может быть использован через HTML-страницу для выполнения произвольного кода.

Еще одна уязвимость связана с механизмом обработки компилированных файлов HTML Help (.chm), которые содержат ярлыки. Когда .chm файл переносится в папку Temporary Internet Files и открывается, то некорректно определяется зона безопасности, в которой он должен работать. Вместо необходимой зоны подставляется зона Local Computer, т.е. .chm файл по умолчанию считается безопасным.

Текст бюллетеня: http://www.microsoft.com/technet/security/bulletin/MS02-055.asp.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.microsoft.com/security/
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код