24 июня 2000 ttp-equiv объявил об обнаружении уязвимости в MSIE, которая позволяет злонамеренным web-мастерам выполнять программы на системах клиента. Уязвимость позволяет внедрять объект в HTML
с ненулевым значением CLASSID и параметром CODEBASE, установленным на путь любой
существующей на системе клиента программы.
Хотя уязвимость и была устранена в более поздних версиях, MSIE может все еще быть уязвим к этой проблеме. Если объекты со значением CODEBASE, установленным на выполнимую программу на системе клиента внедрены в новые созданные объекты
(при помощи window.PoPup() или window.Open()), указанная программа выполнится. Проблема может быть не связанна с недостатком, обнаруженным ttp-equiv.
Эксплуатация этой уязвимости позволяет удаленным нападающим выполнять любые программы на системе клиента.
Уязвимость Microsoft Internet Explorer 6.0 и возможно в более ранних версиях.
Эксплоит здесь:
