Zadnja sprememba: 27. 9. 2006
CVE oznaka: CVE-2006-4868
Ranljive verzije:
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 1 in Service Pack 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 with SP1 for Itanium-based Systems Edition
- Microsoft Windows Server 2003 x64 Edition
Opis
Napaka v Microsoftovi implementaciji opisnega jezika VML (Vector Markup Language) za prikaz vektorske grafike omogoča napadalcu izvedbo poljubnih ukazov na napadenem računalniku. Jezik VML se uporablja med drugim v Internet Explorer spletnem brskalniku in poštnih programih Outlook in Outlook Express. Tudi drugi programi, ki prikazujejo HTML vsebine so lahko ranljivi, če uporabljajo ranljivo Microsoftovo VML komponento.
Mozillini produkti (brskalnik Firefox, poštni program Thuderbird) in brskalnik Opera niso ranljivi, saj ne uporabljajo jezika VML za opis grafičnih elementov, pač pa SVG (Scalable Vector Grafics).
Ranljivost se trenutno aktivno izrablja na omrežju.
Možni načini izrabe ranljivosti
Napadalec lahko namesti kodo na spletno mesto in uporabi različne načine za privabljanje žrtev, kot so recimo obvestila preko elektronske pošte, sistema za hipno sporočanje (MSN Messenger, Yahoo Messenger) in drugo. Pošilja lahko tudi zlonamerno kodo znotraj HTML dokumentov po elektronski pošti.
Rešitev
Microsoft je predčasno (27. 9. 2006) objavil uradni popravek MS06-055. Vsem uporabnikom priporočamo, da sledijo osnovnim navodilom za zaščito računalnika.