Компания Microsoft выпустила информационный бюллетень с заявлением о том, что в HTML-конвертере под Windows обнаружена уязвимость, с помощью которой злоумышленник может запускать исполняемый код; соответствующая заплатка уже выпущена.
Проблема заключается в неправильной обработке запроса при выполнении операции вырезания и вставки. Поскольку HTML-конвертер работает с браузером Internet Explorer, злоумышленник может создать специальную веб страницу или HTML письмо, с помощью которого на компьютере жертвы произойдет переполнение буфера и будет запущен исполняемый код.
Microsoft определила данную уязвимость как критическую для ОС Windows 98, NT, 2000 и XP, и умеренно-критическую для Windows Server 2003, т.к. в последнем случае браузер Internet Explorer по умолчанию запускается в более безопасном режиме, уменьшая вероятность проведения внешних атак. О предыдущих версиях операционных систем, не поддерживаемых в настоящий момент Microsoft, ничего не сообщается (например, Windows 95); остается неизвестно, уязвимы ли они перед этой угрозой или нет.
