Программа: Microsoft Windows 2000/2003/XP
Уязвимость обнаружена при декомпрессии EOT (Embedded Open Type) шрифтов.
Использование EOT шрифтов возможно посредством данных стиля, например:
@font-face {
font-family: Abysmal;
font-style: normal;
font-weight: normal;
src: url(evil.eot);
Переполнение динамической памяти обнаружено в T2EMBED.DLL, которую вызывает
Internet Explorer для обработки EOT шрифтов. Данные внутри такого файла
архивируются в Agfa MicroType Express формате, который содержит 24 битный
LZ-сжатый поток. Этот размер + 1C00h распределяются функцией
MTX_LZCOMP_UnPackMemory, но, полученный в итоге размер, не проверяется перед
копированием данных в блок. Удаленный пользователь может с помощью специально
сформированного EOT шрифта перезаписать произвольное количество данных в буфере
и выполнить произвольный код на целевой системе.