Dell OpenManage IT Assistant detectIESettingsForITA ActiveX vezérlő sérülékenység


2011. július 14. 13:24

CH azonosító

CH-5188

Angol cím

Dell OpenManage IT Assistant detectIESettingsForITA ActiveX Control Information Disclosure

Felfedezés dátuma

2011.07.13.

Súlyosság

Alacsony

Érintett rendszerek

Dell
OpenManage

Érintett verziók

Dell OpenManage IT Assistant 8.x
Dell detectIESettingsForITA ActiveX control 8.x

Összefoglaló

A Dell OpenManage IT Assistant olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók bizalmas rendszerinformációkat szerezhetnek.

Leírás

A sérülékenységet a detectIESettingsForITA ActiveX vezérlő nem biztonságos “readRegVal()” eljárása okozza, ami lehetővé teszi a regisztrációs adatbázisbeli kulcs/érték párok kiolvasását, így tetszőleges rendszer paraméter felfedhető.

A sérülékenység a 8.9.0. (detectIESettingsForITA.ocx 8.1.0.0) verzióban vált ismertté, de más kiadások is érintettek lehetnek.

Megoldás

Állítsa be a tiltóbitet (kill-bit) az érintett ActiveX vezérlőhöz

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: retrogod.altervista.org
SECUNIA 45233