В Microsoft Step-by-Step IT найдена критическая уязвимость

Российские эксперты по информационной безопасности обнаружили уязвимость в программе Microsoft Step-by-Step Interactive Training во всех версиях Windows.

Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе пользователя. Ошибка обнаружена в Step-by-Step Interactive Training компоненте при обработке файлов bookmark link. Удаленный пользователь может сконструировать специально обработанную закладку (.cbo-файл), содержащую файл ссылок с чрезмерно длинным полем User, чтобы вызвать стековое переполнение буфера в orun32.exe и выполнить произвольный код на целевой системе.

Уязвима Microsoft Step-by-Step Interactive Training (Windows 98, 2000, XP, 2003). «Дыре» присвоен рейтинг опасности «критическая». Есть соответствующий эксплойт, уязвимость может эксплуатироваться при посещении вредоносного веб-сайта или открытии специально обработанного файла. Для решения проблемы установите обновление с сайта производителя, сообщил Securitylab.