InduSoft ISSymbol ActiveX vezérlő többszörös puffer túlcsordulás sérülékenysége

2011. szeptember 1. 08:19

CH azonosító

CH-5479

Angol cím

InduSoft ISSymbol ActiveX Control Multiple Buffer Overflow Vulnerabilities

Felfedezés dátuma

2011.08.31.

Súlyosság

Magas

Érintett rendszerek

ISSymbol ActiveX Control
InduSoft
Web Studio

Érintett verziók

InduSoft ISSymbol ActiveX control
InduSoft Web Studio 7.x

Összefoglaló

Az InduSoft ISSymbol ActiveX vezérlő több sérülékenységét jelentették, amit kihasználva a támadók feltörhetik a felhasználó rendszerét.

Leírás

Az “Open()” egy határérték hibáját kihasználva, az eljárásnak átadott túlságosan hosszú string változóval halom túlcsordulást lehet okozni.
Az “Close()” egy határérték hibáját kihasználva, az eljárásnak átadott túlságosan hosszú string változóval halom túlcsordulást lehet okozni.
Az “SetCurrentLanguage()” egy határérték hibáját kihasználva, az eljárásnak átadott túlságosan hosszú string változóval verem túlcsordulást lehet okozni.

A hibák sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.

A sérülékenységeket az InduSoft Web Studio 7.0B2 hotfix 7.0.01.04. kiadásban használt ISSymbol.ocx 301.1104.601.0. verziójában igazolták.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-29824 – Microsoft Windows Common Log File System (CLFS) Driver Use-After-Free sérülékenysége

CVE-2024-48887 – Fortinet FortiSwitch sérülékenysége

CVE-2025-31489 – MinIO sérülékenysége

CVE-2025-31161 – CrushFTP Authentication Bypass sebezhetősége

CVE-2025-2704 – OpenVPN sebezhetősége

CVE-2025-22457 – Ivanti Connect Secure, Policy Secure and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége

CVE-2025-30401 – WhatsApp for Windows sérülékenysége

CVE-2025-24228 – Apple sebezhetősége

CVE-2025-24097 – Apple sebezhetősége

Tovább a sérülékenységekhez »

InduSoft ISSymbol ActiveX vezérlő többszörös puffer túlcsordulás sérülékenysége