• Партнер

  • В связи с выходом новых патчей объявлено о
    ряде уязвимостях в программах Microsoft.

    Программа: Windows SharePoint Services for Windows Server 2003,
    SharePoint Team Services from Microsoft

    Уязвимость позволяет удаленному
    атакующему произвести межсайтовый
    скриптинг и выполнить подмену содержимого
    страницы в кешах браузеров и прокси
    серверов. Уязвимость существует из-за
    отсутствия проверки данных, поступающих HTML
    запросу на перенаправление, до возвращения
    ответа в браузер пользователя.
    Злоумышленник может выполнить
    произвольный HTML сценарий в браузере
    целевого пользователя в контексте текущей
    сессии на уязвимом сайте, а также
    манипулировать содержимым кеша браузера и
    прокси серверов

    Программа: Microsoft Windows XP SP1, SP2; Microsoft Windows XP
    64-Bit Edition Service Pack 1 (Itanium)

    Уязвимость позволяет удаленному
    пользователю получить некоторую системную
    информацию во время анонимного соединения
    через именованные каналы. Злоумышленник
    может получить список учетных записей на
    уязвимой системе, если пользователь открыл
    анонимное соединение к общедоступной
    сетевой папке. Уязвимость существует при
    обработке проверки валидности доступа при
    открытом анонимном соединении посредством
    именованных каналов.

    Программа: Microsoft Windows NT Server 4.0 Service Pack 6a;
    Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6;
    Microsoft Windows 2000 Server SP3, SP4; Microsoft Windows Server 2003; Microsoft
    Windows Server 2003 for Itanium-based Systems

    Уязвимость позволяет удаленному
    атакующему выполнить произвольный код на
    уязвимой системе. Уязвимость существует из-за
    переполнения буфера в License Logging Service и
    позволяет атакующему выполнить
    произвольный код на уязвимой системе с
    помощью специально сформированного
    сообщения.

    Программа: Microsoft Windows 2000 SP3, SP4; Microsoft Windows XP
    SP1, SP2; Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium);
    Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium); Microsoft Windows
    Server 2003; Microsoft Windows Server 2003 for Itanium-based Systems

    Уязвимость позволяет удаленному
    пользователю загрузить произвольные файлы
    и повысить свои привилегии на уязвимой
    системе. Уязвимость существует при
    обработке Drag-and-Drop событий. Злоумышленник
    может создать специально сформированную web-страницу
    или специально сформированное e-mail
    сообщение, сохранить произвольные файлы на
    целевой системе и выполнить их, например,
    при следующем входе пользователя в систему.

    Программа: Microsoft MSN Messenger 6.1, 6.2; Windows Messenger
    4.7.2009; Windows Messenger 4.7.3000; Windows Messenger 5.0; Windows Media
    Player 9 series

    Уязвимости в Microsoft MSN Messenger, Windows Messenger и Windows
    Media Player позволяют удаленному пользователю
    выполнить произвольный код на уязвимой
    системе. Уязвимость существует при
    обработке PNG файлов. Удаленный пользователь
    может с помощью специально сформированного
    PNG файла выполнить произвольный код на
    целевой системе.

    Программа: Microsoft Windows 2000 SP3, SP4; Microsoft Windows XP
    SP1, SP2; Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium);
    Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium); Microsoft Windows
    Server 2003; Microsoft Windows Server 2003 for Itanium-based Systems

    Уязвимость позволяет удаленному
    атакующему выполнить произвольный код на
    уязвимой системе. Уязвимость существует
    при обработке SMB трафика и может быть
    реализована посредством переполнения
    буфера в SMB и CIFS. Удачная эксплуатация
    уязвимости позволит удаленному атакующему
    выполнить произвольный код на уязвимой
    системе.

    Операционные системы и серверные
    приложения: Microsoft Windows 2000, Microsoft Windows XP, Microsoft
    Windows XP 64-Bit Edition, Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium),
    Microsoft Windows Server 2003, Microsoft Windows Server 2003 (Itanium),
    Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003, Microsoft
    Exchange Server 5.0, Microsoft Exchange Server 5.5, Microsoft Windows 98,
    Microsoft Windows 98 Second Edition (SE), Microsoft Windows Millennium Edition (ME)
    Программное обеспечение: Microsoft Office XP, Outlook
    2002, Word 2002, Excel 2002 ,PowerPoint 2002, FrontPage 2002, Publisher 2002,
    Access 2002, Microsoft Office 2003, Outlook 2003, Word 2003, Excel 2003,
    PowerPoint 2003, FrontPage 2003, Publisher 2003, Access 2003, InfoPath 2003,
    OneNote 2003

    Обнаруженные уязвимости позволяют
    злоумышленнику получить полный контроль
    над уязвимой системой.

    1. Уязвимость при обработке COM объектов
    позволяет атакующему получить контроль над
    уязвимой системой. Уязвимость существует в
    реализации доступа к памяти при обработке
    структурированных файловых хранилищ COM
    объектов.

    2. Удаленное выполнение кода возможно из-за
    некорректной обработки данных в компоненте
    OLE. Злоумышленник может создать специально
    сформированный документ, который позволит
    выполнить произвольный код на системе с
    привилегиями текущего пользователя.

    Программа: Microsoft Windows все версии

    Уязвимость позволяет удаленному
    атакующему выполнить произвольный код на
    уязвимой системе с привилегиями текущего
    пользователя. Обнаружено переполнение
    буфера при обработке гиперссылок в Hyperlink
    Object Library. Злоумышленник может создать
    специально сформированный URL и выполнить
    произвольный код на уязвимой системе.

    Программа: Microsoft Office XP

    Уязвимость позволяет злоумышленнику
    выполнить произвольный код на уязвимой
    системе с привилегиями текущего
    пользователя. Уязвимость обнаружена при
    обработке месторасположения URL в Microsoft Office.
    Удаленный атакующий может вызвать
    переполнение буфер с помощью специально
    сформированного HTML документа и выполнить
    произвольный код на уязвимой системе.

    Программа: Microsoft Internet Explorer 5.01, 5.5, 6

    Уязвимости в Microsoft Internet Explorer позволяют
    удаленному атакующему произвести XSS атаку,
    обойти некоторые ограничения, получить
    доступ к важной информации и
    скомпрометировать систему.

    1. Недостаточная обработка событий drag-and-drop
    позволяет удаленному пользователю обойти
    ограничения безопасности и сохранить
    произвольный файл на целевой системе.
    Уязвимость может быть эксплуатирована
    посредством Content-Disposition HTTP заголовка с
    дополнительно точкой в имени загружаемого
    файла.

    2. Уязвимость при обработке некоторых
    закодированных URL позволяет подменить
    содержимое строки адреса в окне и выполнить
    произвольный HTML сценарий в браузере
    целевого пользователя.

    3. Уязвимость при обработке URL в CDF файлах
    позволяет тегу CHANNEL содержать ссылку на
    javascript: URL. Удаленный пользователь может
    выполнить произвольный сценарий в браузере
    жертвы.

    4. Уязвимость в функции javascript "createControlRange()"
    позволяет злоумышленнику перенаправить
    поток данных злонамеренного приложения в
    кучу и выполнить произвольный код на
    уязвимой системе с привилегиями текущего
    пользователя.

    5. Недостаточная обработка межзоновых
    ограничений позволяет с помощью специально
    сформированного URL прилинковать локальные
    ресурсы.

    6. Ошибка при обработке сайтов внутри Temporary
    Internet Files позволяет злонамеренному
    пользователю загрузить произвольный файл в
    контексте Temporary Internet Files и получить данные
    об имени пользователя и файлах, находящихся
    в каталоге Temporary Internet Files.

    7. Ошибка при обработке атрибута codebase тега
    object позволяет выполнить произвольный файл
    с любым разрешением в Local Computer Zone
    посредством добавления символов "?.exe".

    Программа: Microsoft Framework .NET 1.0, 1.1

    Уязвимость позволяет удаленному
    пользователю обойти ограничения и получить
    неавторизованный доступ к потенциально
    важной информации. Удаленный пользователь
    может обойти ограничения безопасности ASP.NET
    web-сайта и получить доступ к потенциально
    важной информации.

    Программа: Microsoft Windows 2000 SP3, SP4; Microsoft Windows XP
    SP1, SP2; Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium);
    Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium); Microsoft Windows
    Server 2003; Microsoft Windows Server 2003 for Itanium-based Systems

    Уязвимость позволяет удаленному
    пользователю получить доступ к важной
    информации и выполнить произвольный код на
    уязвимой системе. Обнаружена уязвимость в
    DHTML ActiveX компоненте на Windows платформах.
    Злоумышленник может создать специальным
    образом HTML страницу или email сообщение,
    содержащее злонамеренный код и выполнить
    произвольные действия на уязвимой системе.

     

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии