Межсайтовый скриптинг через DHTML Edit и Help в Microsoft Internet Explorer (crossite scripting) дополнено с 15 декабря 2004 г.
Опубликовано:		9 февраля 2005 г.
Источник:		BUGTRAQ
SecurityVulns ID:		4264
Тип:		клиент
Опасность:		9/10
Описание:		AcitveX элементы DHTML Edit и Help позволяет вставить код в контекст другого сервера. Используя эту уязвимость в сочетании с другими возможно выполнение сценария в зоне локальной системы.

Затронутые продукты:

MICROSOFT : Internet Explorer 6.0

Оригинальный текст		MICROSOFT, Microsoft Security Bulletin MS05-013 Vulnerability in the DHTML Editing Component ActiveX Control Could Allow Remote Code Execution (891781) (08.02.2005)
		Valentin Avram, IE HHCTRL exploit still usable even after patch (18.01.2005)
		CERT, US-CERT Technical Cyber Security Alert TA05-012B -- Microsoft Windows HTML Help ActiveX Contol Cross-Domain Vulnerability (13.01.2005)
		MICROSOFT, Alert: Microsoft Security Bulletin MS05-001 - Vulnerability in HTML Help Could Allow Code Execution (890175) (13.01.2005)
		ShredderSub7 SecExper, [Full-Disclosure] Remote code execution with parameters without user interaction, even with XP SP2 (04.01.2005)
		Paul, Microsoft Internet Explorer SP2 Fully Automated Remote Compromise (27.12.2004)
		Paul, Internet Explorer Help ActiveX Control Local Zone Security Restriction Bypass Vulnerability (updated) (21.12.2004)
		Paul, MSIE DHTML Edit Control Cross Site Scripting Vulnerability (15.12.2004)

Файлы:		Microsoft Security Bulletin MS05-001 Vulnerability in HTML Help Could Allow Code Execution (890175)
		Microsoft Security Bulletin MS05-013 Vulnerability in the DHTML Editing Component ActiveX Control Could Allow Remote Code Execution (891781)
Обсудить:		Прочитать или оставить комментарии к новости (0 комментариев)