Security Lab

Удаленное выполнение произвольных файлов в Microsoft Internet Explorer

Дата публикации:29.10.2003
Всего просмотров:1457
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Microsoft Internet Explorer 6.0 и возможно более ранние версии

Описание: Уязвимость обнаружена в Microsoft Internet Explorer (IE). Удаленный пользователь может выполнить произвольные файлы в local computer zone.

Удаленный пользователь может сконструировать HTML, который содержит ссылку на удаленный CGI сценарий, используя специально сформированный заголовок Location. Удаленный CGI сценарий может получить доступ или выполнить произвольные локальные файлы с привилегиями Local Computer zone, используя ActiveX объект. Используя эту уязвимость, атакующий может, например, установить специально обработанные куки и затем заставить IE выполнить код, содержащийся в этих куки.

Дополнительные детали будут сообщены после выхода патча.

Пример/Эксплоит: http://www.mlsecurity.com/ie/ie.htm

URL производителя: http://www.microsoft.com/technet/security/

Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Internet Explorer and Opera local zone restriction bypass