Összefoglaló
A Panda ActiveScan két sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók feltörhetik a felhasználó rendszerét.
Leírás
A Panda ActiveScan két sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók feltörhetik a felhasználó rendszerét.
- Egy határhiba az ActiveScan 2.0 AV Class ActiveX vezérlőben (as2guiie.dll), az “Update()” eljárásnak átadott bemenetek feldolgozásakor, kihasználható verem túlcsordulás okozására egy speciálisan erre a célra elkészített weblapon keresztül.
- Tervezési hiba az ActiveScan 2.0 AV Class ActiveX vezérlőben tetszőleges CAB fájlok telepítését engedélyezheti a felhasználó rendszerén az “Update()” eljáráson keresztül.
Sikeres kihasználás tetszőleges kód futtatását eredményezheti.
A forgalmazó szerint a sérülékenységek az 1.02.00 előtti verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: lists.grok.org.uk
SECUNIA 30841
CVE-2008-3155 - NVD CVE-2008-3155
CVE-2008-3156 - NVD CVE-2008-3156