• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Выполнение произвольных команд

Главная Специалистам База уязвимостей Выполнение произвольных команд

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:A/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Microsoft Windows (1.1.4 x86 Windows 2000 Server SP4, 1.2.0 x86 Windows XP , 1.2.1 x86 Windows XP SP1, 1.2.2 x86 Windows XP SP2, 1.2.3 x86 Windows XP SP3, 1.3.0 x86 Windows 2003 Server, 1.3.1 x86 Windows 2003 Server SP1, 1.3.2 x86 Windows 2003 Server SP2, 2.2.0 x64 Windows XP, 2.2.2 x64 Windows XP SP2, 2.3.0 x64 Windows 2003 Server, 2.3.2 x64 Windows 2003 Server SP2, 3.2.0 i64 Windows XP, 3.2.1 i64 Windows XP SP1, 3.2.2 i64 Windows XP SP2, 3.2.3 i64 Windows XP SP3, 3.3.0 i64 Windows 2003 Server , 3.3.1 i64 Windows 2003 Server SP1, 3.3.2 i64 Windows 2003 Server SP2)
Описание
Уязвимость в Microsoft Windows позволяет злоумышленникам выполнить произвольные команды. Данная уязвимость связана с функцией hhctrl.ocx "HtmlHelpA()", которая некорректно обрабатывает CHM-файлы из текущего каталога, если относительный путь получен в качестве аргумента. Для успешной эксплуатации уязвимости необходимо убедить пользователя открыть ".txt"-файл, расположенный в каталоге со специально сформированным файлом notepad.chm, а также убедить его выбрать какой-либо пункт из вредоносной справки.
Как исправить
Исправление не выпущено. В качестве временного решения рекомендуется отказаться от вызова справки из Windows-приложений, а также не открывать CHM-файлы, полученные из недоверенных источников.
http://www.microsoft.com/
Ссылки