Исследователи нашли способ запускать вредоносный код на VML в Outlook, не пользуясь сценарными языками, обработка которых почтовым клиентом блокируется. Внедряя инструкции командного интерпретатора Windows ("шеллкод") в код VML, атакующий может запускать на системе пользователя посторонние программы. Таким образом, для проведения атаки достаточно отправить пользователю HTML-сообщение с вредоносной VML-вставкой, и при определенных условиях Outlook автоматически запустит ее на исполнение. На Outlook Express ошибка не распространяется.

Поделитесь материалом с коллегами и друзьями