Microsoft выпустил совокупную заплату к IE 5.01, 5.5 и 6.0, которая устраняет шесть новых, недавно обнаруженных, уязвимостей:
- Переполнение буфера в обработчике Gopher протокола. Эта уязвимость частично была исправлена в
MS02-027 и полностью сейчас. - Переполнение буфера в ActiveX управлении, который отвечает за отображение отформатированного текста. Уязвимость может использоваться для выполнения произвольного кода на системе пользователя.
- Уязвимость в методе, которым Internet Explorer обрабатывает HTML директиву
отображения XML данных. Директива неправильно обрабатывает случай, когда XML источник данных переадресован к источнику данных в другом домене. Уязвимость позволяет злонамеренной Web странице обращаться к XML
данным в других доменах, к которым имел доступ пользователь. - Уязвимость в способе представления источника файла в диалоговом окне "File Download". Этот недостаток позволяет нападающему исказить источник файла, предлагаемого для загрузки.
- Уязвимость межсайтового скриптинга в неправильной обработке тэга "
Object". Она позволяет злонамеренному Web сайту действовать от имени других сайтов или читать файлы на системе пользователя. - Новый вариант уязвимости "Cross-Site Scripting in Local HTML
Resource". Уязвимость позволяет нападающему создать Web страницу, которая будет выполнена в Local Computer
zone.
