セキュリティ専門家のインターネット セキュリティ システムズ (ISS) は、Windows 2000、XP、および Server 2003 のすべてのサービス パック バージョン内のパッチが適用されていない脆弱性を標的としたゼロデイ攻撃について警告を発しました。問題は、仮想ファイルを処理する際のスタック オーバーフローです。
https://how2.work/VML%20%E3%82%BC%E3%83%AD%E3%83%87%E3%82%A4%E6%94%BB%E6%92%83%E3%81%AF%20Windows%20%E3%82%92%E3%82%BF%E3%83%BC%E3%82%B2%E3%83%83%E3%83%88%E3%81%AB%E3%81%97%E3%81%BE%E3%81%99/
セキュリティ専門家の Internet Security Systems (ISS) は、Windows 2000、XP、および Server 2003 のすべてのサービス パック バージョンに含まれるパッチが適用されていない脆弱性を狙ったゼロデイ攻撃について警告を発しました。
問題は、ベクトル データとその表示方法に関する情報を含む XML アプリケーションである仮想マークアップ言語 (VML) ファイルを処理する際のスタック オーバーフローです。
この脆弱性の悪用に成功すると、攻撃者はユーザーと同じ権限 (通常は Windows ユーザーの管理者レベル) でターゲット システムにアクセスできるようになり、リモートでコードが実行される可能性があります。
この攻撃は、Web サイト上でホストされている、または HTML 電子メールを介して送信された特別に作成された HTML ページから開始される可能性があります。
