CH azonosító
CH-5971Angol cím
DVR Remote ActiveX Control DVRobot Library Loading VulnerabilityFelfedezés dátuma
2011.11.16.Súlyosság
MagasÉrintett rendszerek
DVR RemoteSunPlus Electronics Corp
Érintett verziók
DVR Remote ActiveX Control 2.x
Összefoglaló
A DVR Remote ActiveX vezérlő olyan sérülékenységét jelentették, amelyet a támadók kihasználva feltörhetik a felhasználó sérülékeny rendszerét.
Leírás
A sérülékenységet a DVRobot.dll ActiveX vezérlőt használó web szerver “manifest” könyvtárából való automatikus letöltődése okozza, amely után a könyvár fájl betöltődik és néhány függvénye meghívásra kerül.
A sérülékenység sikeres kihasználásával tetszőleges kód futtatható egy speciálisan megszerkesztett weboldal és hostolt VDRobot.dll fájl segítségével.
A sérülékenységet a 2.1.0.39 verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Állítsa be a tiltóbitet (kill-bit) az érintett ActiveX vezérlőhözTámadás típusa
Other (Egyéb)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 46477
CVE-2011-3828 - NVD CVE-2011-3828
Egyéb referencia: secunia.com
