Az eBay képszolgáltatás ActiveX vezérlőjének puffer túlcsordulásos sebezhetősége

CH azonosító

CH-74

Felfedezés dátuma

2006.07.09.

Súlyosság

Közepes

Érintett rendszerek

Enhanced picture services ActiveX control
eBay

Érintett verziók

eBay Enhanced picture services ActiveX control 1.0.3.36

Összefoglaló

Az eBay Enhanced Picture Services ActiveX vezérlő olyan sebezhetőséget mutat, amelyet rosszindulatú támadó felhasználhat a rendszer feltörésre.

Leírás

Az ActiveX olyan műszaki megoldás, amely a programozó számára másutt is felhasználható szoftverkomponens létrehozását teszi lehetővé, amely aztán kliensekbe építve nagyban megnöveli azok funkcionalitását. Az eBay Enhanced Picture Services olyan ActiveX vezérlő,amely az eladó számára lehetővé teszi, hogy képeket töltsön fel egy árveréshez. Akik Windows rendszeren (98, ME, NT, 2000, XP, 2003, stb.) installálták az eBay ActiveX vezérlőjét, mind sebezhetőek.

E sebezhetőség az EUPWALcontrol.dll egy közelebbről meg nem határozott hibájából fakad, amellyel puffer túlcsordulás váltható ki, pl. ha a felhasználó egy rosszindulatú weboldalt látogat meg.
Ez aztán tetszőleges programkód lefuttatását teszi lehetővé.

A sebezhetőséget az 1.0.3.36. verzióval kapcsolatban jelentették, de a többi verzió is érintett lehet.

Megoldás

Frissítsen a legújabb verzióra