Software

[TOSHIK]

Выполнение произвольного кода в Internet Explorer

14 февраля, 2006
Программа: Microsoft Internet Explorer 5.01, 5.5, 6.0

Опасность: Критическая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать уязвимую систему.

Уязвимость существует при обработке Drag-And-Drop событий. Удаленный пользователь может с помощью специально сформированной Web страницы установить произвольные файлы на систему пользователя, что может привести в дальнейшем к выполнению злонамеренного приложения. Уязвимость может быть эксплуатирована с помощью любого Drag-And-Drop события, включая использование прокрутки окна браузера.

URL производителя: microsoft.com

Решение: Способов устранения уязвимости не существует в настоящее время.

[TOSHIK]

Считаю уязвимость опастной, а с учетом того что очень многие сайты могут быть атакованы и содержать после атаки вредоносный код, то уязвимость очень опастная на мой взгляд.

Больше всего убило вот это заявление:
Vendor response:
Microsoft was informed of this vulnerability on August 3, 2005. Currently, the company has no plans to issue a security update to correct this vulnerability. Fixes for this issue are scheduled to be included in Service Pack 2 of Windows Server 2003 and Service Pack 3 of Windows XP. Of particular note is that Windows 2000 users will *NOT* receive an update to correct this vulnerability.