Összefoglaló
Az ImageShack Toolbar egy gyengeségét fedezték fel, melyet kihasználva rosszindulatú támadók érzékeny információkhoz juthatnak hozzá.
Leírás
Az ImageShack Toolbar egy gyengeségét fedezték fel, melyet kihasználva rosszindulatú támadók érzékeny információkhoz juthatnak hozzá.
A gyengeséget a veszélyes “BuildSlideShow()” eljárást tartalmazó ImageShackToolbar.FileUploader.1 ActiveX vezérlője (ImageShackToolbar.dll) okozza. Ezt kihasználva fel lehet tölteni bizonyos képeket a felhasználó rendszeréről az ImageShack oldalra, vagy hozzá lehet jutni más fájlok tartalmához pl. helyi hálózat “lehallgatásával” (network sniffer segítségével).
A sikeres kiaknázás előfeltétele a cél file nevének és a teljes útvonalának ismerete.
A gyengeésget az ImageShackToolbar.dll 4.5.7.69. verziójánál erősítették meg. Más verziók is érintettek lehetnek.
Megoldás
Állítsa be a tiltóbitet (kill-bit) az érintett ActiveX vezérlőhözTámadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.milw0rm.com
SECUNIA 28644