В платформе .Net Framework найдена уязвимость, позволяющая удаленному пользователю произвести XSS-нападение (межсайтовый скриптинг, вставка HTML-кода) и получить доступ к данным пользователей, сообщает CNews.ru.
Уязвимость существует из-за отсутствия фильтрации некоторых ASCII-символов в различны
кодировках после преобразования их в Unicode. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML-сценарий в браузере жертвы, если кодировка по умолчанию веб-сервера отличная от Unicode.
“Дыру” имеют следующие версии: .Net Framework 1.0; .Net Framework 1.0 SP1; .Net Framework 1.0 SP2; .Net Framework 1.1; .Net Framework 1.1 SP1; .Net Framework 1.1 SP1 MS05–004. Эксперты советуют использовать в качестве кодировки по умолчанию utf-8.