|
Поделиться
Поделиться
Георгий Гунинский: Excel XP некорректно обрабатывает XSL
Тесная интегрированность приложений Windows XP с различными веб-технологиями может быть чревата серьезными уязвимостями. Так, заявленная совместимость Excel XP с языками разметки XML и XSL позволяет хакерам исполнять программный код на стороне клиента. Данную уязвимость обнаружил 24 мая известный эксперт в области сетевой безопасности Георгий Гунинский. Исполнение вредоносного программного кода возможно в том случае, если пользователь открывает файлы с расширением .xls и выбирает их просмотр в виде листа стилей XML. В том случае, если лист стилей содержит вредоносный код, он будет беспрепятственно выполнен на стороне клиента. При этом Excel не выводит никаких предупреждающих сообщений.Впрочем, сам г-н Гунинский признает, что вероятность реализации подобной схемы достаточно низка, поскольку по умолчанию просмотр листов стилей XML в Excel отменен и пользоватлею необходимо самостоятельно подтвердить запуск XSL. С другой стороны, если пользователь поддастся на уловку хакеров, последствия могут оказаться очень серьезными. "Даже непрофессиональные составители сценариев поймут, что подобная операция способна привести к получению полного доступа ко всем ресурсам компьютера", - заявил эксперт.
Источник:
бюллетень Георгия Гунинского
Короткая ссылка
