Обычно, когда устанавливается программа, она должна зарегистрировать себя в Internet Explorer. Это позволяет программе определять, как Internet Explorer должен обрабатывать файлы, связанные с этой программой и упомянутые на Web странице, — например, определять, нужно ли пользователю выдавать диалог предупреждения перед открытием файла. 

Visual FoxPro 6.0 не выполняет такую регистрацию, что приводит к ситуации, в которой web-страница может автоматически запускать приложение Visual FoxPro (то есть.app файл). В большинстве случаев, это не приводит к уязвимости защиты, из-за способа, которым Visual FoxPro определяет имя файла. Т.е. в этом случае FoxPro запуститься, но .app файл не будет выполнен. Однако, если имя файла приложения было создано специфическим способом, вторая ошибка (связанная с тем, как Visual FoxPro 6.0 определяет имя файла приложения), позволяет не только запустить FoxPro, но выполнить злонамеренное приложение. 

Уязвимость может использоваться через злонамеренную Web страницу или почтовое сообщение против пользователей, у которых установлен Visual FoxPro 6.0 runtime. Уязвимость позволяет выполнять
системные команды с привилегиями текущего пользователя. 

Уязвимость обнаружена в Microsoft Visual FoxPro 6.0.



Оставить мнение