Microsoft выпустил совокупную заплату к IE 5.01, 5.5 и 6.0, которая устраняет шесть новых, недавно обнаруженных, уязвимостей: 

  • Переполнение буфера в обработчике Gopher протокола. Эта уязвимость частично была исправлена в
    MS02-027 и полностью сейчас. 
  • Переполнение буфера в ActiveX управлении, который отвечает за отображение отформатированного текста. Уязвимость может использоваться для выполнения произвольного кода на системе пользователя. 
  • Уязвимость в методе, которым Internet Explorer обрабатывает HTML директиву
    отображения XML данных. Директива неправильно обрабатывает случай, когда XML источник данных переадресован к источнику данных в другом домене. Уязвимость позволяет злонамеренной Web странице обращаться к XML
    данным в других доменах, к которым имел доступ пользователь. 
  • Уязвимость в способе представления источника файла в диалоговом окне "File Download". Этот недостаток позволяет нападающему исказить источник файла, предлагаемого для загрузки. 
  • Уязвимость межсайтового скриптинга в неправильной обработке тэга "
    Object". Она позволяет злонамеренному Web сайту действовать от имени других сайтов или читать файлы на системе пользователя. 
  • Новый вариант уязвимости "Cross-Site Scripting in Local HTML
    Resource". Уязвимость позволяет нападающему создать Web страницу, которая будет выполнена в Local Computer
    zone.

Оставить мнение