Description
Данное обновление для системы безопасности устраняет обнаруженную пользователями уязвимость Microsoft .NET Framework. Данная уязвимость делает возможным удаленное выполнение кода в клиентской системе, если пользователь просмотрит особым образом созданную веб-страницу в веб-браузере, который может выполнять браузерные приложения XAML (XBAP). Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора. Кроме того, данная уязвимость делает возможным удаленное выполнение кода на серверных системах, в которых запущены службы IIS, если на этом сервере разрешена обработка страниц ASP.NET и злоумышленнику удастся загрузить на сервер и выполнить особым образом созданные страницы ASP.NET (например, при атаке через хостинговые службы). Данная уязвимость могла использоваться приложениями Windows .NET для обхода ограничений разграничения доступа кода (CAS). При атаке посредством использования веб-браузеров злоумышленник может разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-сайты, подвергшиеся атаке злоумышленников, равно как и веб-сайты, принимающие или размещающие пользовательские материалы или объявления, также могут иметь специальное содержимое, рассчитанное на использование данной уязвимости. Однако в любом случае злоумышленник не может заставить пользователей посетить эти веб-сайты. Вместо этого злоумышленник должен будет убедить пользователей посетить веб-сайт, обычно приглашая их перейти по соответствующей ссылке, ведущей на этот веб-сайт, в сообщении электронной почты или программы обмена мгновенными сообщениями.