Компания Microsoft
выпустила информационный бюллетень с заявлением
о том, что в HTML-конвертере под Windows
обнаружена уязвимость, с помощью которой
злоумышленник может запускать исполняемый
код; соответствующая заплатка уже выпущена.
Проблема заключается в неправильной
обработке запроса при выполнении операции
вырезания и вставки. Поскольку HTML-конвертер
работает с браузером Internet Explorer,
злоумышленник может создать специальную
веб страницу или HTML письмо, с помощью
которого на компьютере жертвы произойдет
переполнение буфера и будет запущен
исполняемый код.
Microsoft определила данную уязвимость как
критическую для ОС Windows 98, NT, 2000 и XP, и
умеренно-критическую для Windows Server 2003, т.к. в
последнем случае браузер Internet Explorer по
умолчанию запускается в более безопасном
режиме, уменьшая вероятность проведения
внешних атак. О предыдущих версиях
операционных систем, не поддерживаемых в
настоящий момент Microsoft, ничего не
сообщается (например, Windows 95); остается
неизвестно, уязвимы ли они перед этой
угрозой или нет.
