Удаленное выполнение произвольного кода во всех версиях Microsoft Windows

10.07.2003 | 15:22
Уязвимость обнаружена в механизме преобразования файлов внутри операционной системы во всех версиях Microsoft Windows. Удаленный атакующий может выполнить произвольный код на системе.

Все версии Microsoft Windows поддерживают преобразование файлов внутри операционной системы. Эта возможность позволяет пользователям Microsoft Windows преобразовывать одни форматы файлов в другие. В частности, Microsoft Windows поддерживает преобразование HTML файлов. Это позволяет пользователям просматривать, импортировать или записывать файлы в HTML формате.

Недостаток обнаружен в HTML конвертере при выполнении преобразования во время операции вырезания и вклейки (cut-and-paste). Атакующий может сконструировать специально обработанный запрос к HTML конвертеру, чтобы аварийно завершить его работу и выполнить произвольный код на системе. Так как эта возможность используется в Internet Explorer, то атакующий может сконструировать специально обработанную Web страницу или HTML e-mail, чтобы заставить HTML конвертер выполнить произвольный код на системе пользователя. Злонамеренный Web сайт может эксплуатировать эту уязвимость без каких либо дополнительных действий со стороны жертвы, посетившего этот сайт. Любой код будет выполнен с привилегиями текущего пользователя.

Microsoft оценил риск обнаруженной уязвимости как "критический".

Текст бюллетеня Microsoft: http://www.microsoft.com/technet/security/bulletin/MS03-023.asp.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код