Несколько уязвимостей обнаружено в Microsoft Internet Explorer. Удаленный
атакующий может выполнять различные действия на уязвимой системе, например
запускать произвольные программы. Micorosoft выпустила совокупную заплату, которая устраняет все ранее
обнаруженные уязвимости для Internet Explorer 5.01, 5.5 и 6.0, и несколько
недавно обнаруженных:
BR549.DLL Buffer Overrun. Исправление устанавливает kill bit
на BR549.DLL ActiveX управление, которое отвечает за работу
Windows Reporting Tool, который не поддерживается в последних версиях
Internet Explorer. В компоненте обнаружено переполнение буфера, которое
позволяет удаленному атакующему выполнить произвольный код на целевой
системе.
Browser Cache Script Execution in My Computer Zone. Уязвимость
обнаружена в cross-domain security модели в Internet Explorer. Удаленный
атакующий может получить доступ к информации других доменов или выполнить
произвольные программы на локальном компьютере или просмотреть произвольные
файлы на локальном компьютере с привилегиями пользователя, просматривающего
злонамеренный Web сайт.
Object Tag Vulnerability. Internet Explorer не правильно определяет
тип объекта, возвращенного Web сервером. В результате атакующий может
выполнить произвольный код на системе. Если пользователь посещает
злонамеренный Web сайт, код будет выполнен без какого либо взаимодействия со
стороны пользователя. Также уязвимость может эксплуатироваться через HTML
почтовое сообщение. В дополнение к этим исправлениям, внесено исправление в способ,
которым Internet Explorer обрабатывает HTMl файлы. Эти изменения устраняют
недостаток, который мог привести к аварийному завершению работы Internet
Explorer или Outlook Express. Internet Explorer не правильно обрабатывает
input type тэг. Уязвимость может эксплуатироваться через злонамеренный Web
сайт или HTML почтовое сообщение.
Это исправление также содержит модифицированное исправление к Object
Type уязвимости, устраненной в MS03-020.
Уязвимость обнаружена в Microsoft Internet Explorer 5.0-6.0.