Érintett rendszerek
Enhanced picture services ActiveX controleBay
Érintett verziók
eBay Enhanced picture services ActiveX control 1.0.3.36
Összefoglaló
Az eBay Enhanced Picture Services ActiveX vezérlő olyan sebezhetőséget mutat, amelyet rosszindulatú támadó felhasználhat a rendszer feltörésre.
Leírás
Az ActiveX olyan műszaki megoldás, amely a programozó számára másutt is felhasználható szoftverkomponens létrehozását teszi lehetővé, amely aztán kliensekbe építve nagyban megnöveli azok funkcionalitását. Az eBay Enhanced Picture Services olyan ActiveX vezérlő,amely az eladó számára lehetővé teszi, hogy képeket töltsön fel egy árveréshez. Akik Windows rendszeren (98, ME, NT, 2000, XP, 2003, stb.) installálták az eBay ActiveX vezérlőjét, mind sebezhetőek.
E sebezhetőség az EUPWALcontrol.dll egy közelebbről meg nem határozott hibájából fakad, amellyel puffer túlcsordulás váltható ki, pl. ha a felhasználó egy rosszindulatú weboldalt látogat meg.
Ez aztán tetszőleges programkód lefuttatását teszi lehetővé.
A sebezhetőséget az 1.0.3.36. verzióval kapcsolatban jelentették, de a többi verzió is érintett lehet.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
US-CERT 597721
SECUNIA 20969
CVE-2006-1176 - NVD CVE-2006-1176