ImageShack toolbar file feltöltő osztály ActiveX vezérlőjének “BuildSlideShow()” veszélyes eljárása

2008. január 26. 23:00

CH azonosító

CH-944

Felfedezés dátuma

2008.01.26.

Súlyosság

Alacsony

Érintett rendszerek

ImageShack
ImageShack Toolbar

Érintett verziók

ImageShack ImageShack Toolbar 4.x

Összefoglaló

Az ImageShack Toolbar egy gyengeségét fedezték fel, melyet kihasználva rosszindulatú támadók érzékeny információkhoz juthatnak hozzá.

Leírás

Az ImageShack Toolbar egy gyengeségét fedezték fel, melyet kihasználva rosszindulatú támadók érzékeny információkhoz juthatnak hozzá.

A gyengeséget a veszélyes “BuildSlideShow()” eljárást tartalmazó ImageShackToolbar.FileUploader.1 ActiveX vezérlője (ImageShackToolbar.dll) okozza. Ezt kihasználva fel lehet tölteni bizonyos képeket a felhasználó rendszeréről az ImageShack oldalra, vagy hozzá lehet jutni más fájlok tartalmához pl. helyi hálózat “lehallgatásával” (network sniffer segítségével).

A sikeres kiaknázás előfeltétele a cél file nevének és a teljes útvonalának ismerete.

A gyengeésget az ImageShackToolbar.dll 4.5.7.69. verziójánál erősítették meg. Más verziók is érintettek lehetnek.

Legfrissebb sérülékenységek

CVE-2024-30051 – Windows DWM Core Library sérülékenysége

CVE-2024-30040 – Windows MSHTML Platform sérülékenysége

CVE-2024-4671 – Google Chrome sérülékenysége

CVE-2024-22270 – VMware Workstation és Fusion sérülékenysége

CVE-2024-22269 – VMware Workstation és Fusion sérülékenysége

CVE-2024-22268 – VMware Workstation és Fusion sérülékenysége

CVE-2024-22267 – VMware Workstation és Fusion sérülékenysége

CVE-2024-34342 – PDF.Js sérülékenysége

CVE-2024-3661 – DHCP "TunnelVision" sérülékenysége

CVE-2024-4367 – PDF.Js Arbitrary JavaScript Execution sérülékenysége

Tovább a sérülékenységekhez »

ImageShack toolbar file feltöltő osztály ActiveX vezérlőjének “BuildSlideShow()” veszélyes eljárása