Érintett rendszerek
Clever ComponentsDatabase Comparer ActiveX
Érintett verziók
Clever Components Database Comparer ActiveX 2.x
Összefoglaló
A Clever Components Database Comparer ActiveX vezérlő egy olyan sérülékenységét azonosították, melyet a távoli támadók felhasználhattak szolgáltatás megtagadás okozására vagy az érintett rendszer fölötti teljes ellenőrzés megszerzésére.
Leírás
A Clever Components Database Comparer ActiveX vezérlő egy olyan sérülékenységét azonosították, melyet a távoli támadók felhasználhattak szolgáltatás megtagadás okozására vagy az érintett rendszer fölötti teljes ellenőrzés megszerzésére.
A sérülékenységet a Database Comparer ActiveX vezérlő (comparerax.ocx) határhibája okozza a “ConnectToDatabase()” eljárás lekezelésekor. Ezzel lehet kiváltani egy verem túlcsordulását az érintett eljárásnak átadott átlagosnál hosszabb argumentummal.
A sikeres kiknázás tetszőleges kód lefuttatását teszi lehetővé.
A sérülékenység a 2.2 verzióban bizonyított. Más verziók is lehetnek érintettek.
Megoldás
Állítsa be a tiltóbitet (kill-bit) az érintett ActiveX vezérlőhözTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.vupen.com
Gyártói referencia: moaxb.blogspot.com
SECUNIA 25227