CH azonosító
CH-3640Angol cím
Microsoft Visual C++ Redistributable Insecure Library Loading VulnerabilityFelfedezés dátuma
2010.09.12.Súlyosság
MagasÉrintett rendszerek
MicrosoftVisual C++ 2005 Redistributable Package (x86)
Visual C++ 2008 Redistributable Package
Visual C++ 2010 Redistributable Package
Érintett verziók
Microsoft Visual C++ 2005 Redistributable Package (x86)
Microsoft Visual C++ 2008 Redistributable Package
Microsoft Visual C++ 2010 Redistributable Package
Összefoglaló
A Microsoft Visual C++ Redistributable egy olyan sérülékenységét fedezték fel, amelyet a támadók kihasználhatnak a felhasználó sérülékeny rendszerének feltörésére.
Leírás
A sérülékenység oka, hogy az alkalmazás nem biztonságos módon tölti be az MFC könyvtárakat (pl. mfc90u.dll a dwmapi.dll betöltésekor). Ez tetszőleges könyvtár betöltésére használható ki (hijacking támadáson keresztül), ha a felhasználó megnyit egy távoli WebDAV vagy SMB megosztáson elérhető, egy alkalmazásban a sérülékeny MFC könyvtárra mutató linket.
A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.
A sérülékenységet a 9.0.30729.4148-as verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Hijacking (Visszaélés)Input manipulation (Bemenet módosítás)
Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.microsoft.com
SECUNIA 40983
CVE-2010-3190 - NVD CVE-2010-3190