Хакер #305. Многошаговые SQL-инъекции
Все версии Windows поставляются с элементом ActiveX управления, известным как Certificate Enrollment Control, который отвечает за обработку Web сертификатов.
Уязвимость, обнаруженная в компоненте, позволяет Web странице через весьма сложный процесс создать условие, при котором возможно удаление сертификата на системе пользователя. Нападающий, успешно
использующий эту уязвимость, может уничтожить доверенные корневые сертификаты, EFS кодированные сертификаты, почтовые сертификаты и любые другие. Уязвимость может использоваться через Web страницу или почтовое HTML сообщение. Выпущенный патч также устраняет менее серьезную уязвимость в
SmartCard Enrollment. Это управление поставляется с Windows 2000 и Windows XP.
Уязвимость обнаружена в Microsoft Windows 98, Microsoft Windows 98 Second Edition, Microsoft Windows Millennium, Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP.