VULHUB ™

Microsoft JVM是一款使用在Win32操作环境中的Java虚拟机系统，Microsoft JVM包含在大部分Windows版本中，也既包含在大部分Internet Explorer版本中。Microsoft JVM有的时候也可以通过独立下载获得。 Microsoft JVM使用的类 com.ms.vm.loader.CabCracker包含public模式允许CAB存档从硬盘装载，远程攻击者利用这个漏洞可以构建任意applet可以获取本地.CAB存档。 CabCracker类的load()模式用于从硬盘中装载.CAB存档，这个模式一般情况下会进行安全检查和对用户进行询问证实，如果测试成功就调用load0()。但是load0()模式声明为public，因此任意applet可以直接调用它而绕过安全检查。需要注意的是在任何情况下，不可信的applet是不能访问本地文件系统。 Microsoft没有对此问题作出评论。

Microsoft JVM是一款使用在Win32操作环境中的Java虚拟机系统，Microsoft JVM包含在大部分Windows版本中，也既包含在大部分Internet Explorer版本中。Microsoft JVM有的时候也可以通过独立下载获得。 Microsoft JVM使用的类 com.ms.vm.loader.CabCracker包含public模式允许CAB存档从硬盘装载，远程攻击者利用这个漏洞可以构建任意applet可以获取本地.CAB存档。 CabCracker类的load()模式用于从硬盘中装载.CAB存档，这个模式一般情况下会进行安全检查和对用户进行询问证实，如果测试成功就调用load0()。但是load0()模式声明为public，因此任意applet可以直接调用它而绕过安全检查。需要注意的是在任何情况下，不可信的applet是不能访问本地文件系统。 Microsoft没有对此问题作出评论。