Выполнение произвольного кода в Microsoft Windows Object Packager
| Дата публикации: | 11.10.2006 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 2276 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | CVE-2006-4692 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Спуфинг атака Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional Microsoft Windows Server 2003 Standard Edition Microsoft Windows Server 2003 Enterprise Edition Microsoft Windows Server 2003 Datacenter Edition Microsoft Windows Server 2003 Web Edition |
| Уязвимые версии: Microsoft Windows XP Microsoft Windows 2003 Описание: Уязвимость существует из-за ошибки проверки входных данных в Object Packager (packager.exe) при обработке свойства "Command Line". Злоумышленник может подменить имя файла и ассоциированный с ним тип в диалоговом окне путем добавления символа "/" в свойство "Command Line". Злоумышленник может обманом заставить целевого пользователя открыть злонамеренный файл, например, в WordPad, и выполнить произвольные команды на системе. Пример: cmd /c [shell command] /[file].txt URL производителя: www.microsoft.com Решение: Установите исправление с сайта производителя:
Microsoft Windows XP Service Pack 1 and
Microsoft Windows XP Service Pack 2 Microsoft Windows XP Professional x64
Edition Microsoft
Windows Server 2003 and Microsoft Windows Server 2003 Service Pack
1 Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft
Windows Server 2003 with SP1 for Itanium-based Systems Microsoft Windows
Server 2003 x64 Edition |
|
| Ссылки: | (MS06-065) Vulnerability in Windows Object Packager Could Allow Remote Execution (924496) |