Уязвимость, обнаруженная в AOL Instant Messenger (AIM),
позволяет атакующему выполнять
произвольные программы на системе клиента.
Для этого, атакующий должен
сконструировать злонамеренную ссылку и
послать ее клиенту. При клике на эту ссылку,
выполнится файл, на который она ссылается.
Для успешной эксплуатации уязвимости
атакующий должен знать точное
местоположение вызываемого файла, причем
полный путь и имя такого файла не должны
содержать пробелов. Т.е. запускаемой
программе например не могут быть переданы
параметры командной строки. Пример:

<a href ="../../../../progra~1/trojan/trojan.exe">www.example.com</a>

Уязвимость обнаружена в AOL Instant Messenger 4.7.2480 —
4.7.2480.



Оставить мнение