Критические уязвимости в Windows-библиотеке W3Who.dll

9 декабря 2004

Критические уязвимости в Windows-библиотеке W3Who.dll 9 декабря 2004, 08:55 Компьюлента В программном интерфейсе W3Who.dll, входящем в состав пакетов Microsoft Windows XP Professional Resource Kit и Microsoft Windows 2000 Server Resource Kit, обнаружены опасные уязвимости. Проблема связана с некорректной обработкой ряда параметров, а также ошибкой переполнения буфера, возникающей при получении чрезмерно длинных запросов. Дыры теоретически позволяют организовать XSS-атаку (Cross-Site Scripting) на удаленный компьютер или выполнить на нем произвольный вредоносный код при помощи сформированной особым образом ссылки вида "http://[host]/scripts/w3who.dll?AAAAAAAAA...[519 to 12571]....AAAAAAAAAAAAA". Датская компания Secunia охарактеризовала уязвимости как критически опасные. Способов устранения дыр в настоящее время не существует.

9 декабря 2004