Gracenote CDDBControl ActiveX vezérlő puffer túlcsordulás


2006. június 27. 22:00

CH azonosító

CH-70

Felfedezés dátuma

2006.06.27.

Súlyosság

Magas

Érintett rendszerek

CDDBControl ActiveX control
CONNECT Player (SonicStage)
Gracenote
SonicStage
SonicStage Mastering Studio
Sony

Érintett verziók

Sony CONNECT Player (SonicStage) 4.x
Sony SonicStage Mastering Studio 2.x
Sony SonicStage 3.x
Gracenote CDDBControl ActiveX control

Összefoglaló

Egy sebezhetőséget jelentettek a GraceNote CDDBControl ActiveX vezérlőben, amelyet kihasználva támadók feltörhetik a felhasználók rendszerét.

Leírás

Egy sebezhetőséget jelentettek a GraceNote CDDBControl ActiveX vezérlőben, amelyet kihasználva támadók feltörhetik a felhasználók rendszerét.

A sebezhetőséget az ActiveX vezérlőnek átadott meghatározatlan beállítások kezelésekor fellépő határhiba okozza. Ezt kiaknázva puffer túlcsordulást lehet előidézni és tetszőleges kódot lehet lefuttatni.

A sebezhetőség sikeres kihasználásának feltétele, hogy pl. a felhasználó ellátogasson egy rosszindulatú weboldalra.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

US-CERT 701121
Gyártói referencia: www.gracenote.com
SECUNIA 20861
CVE:E-2006-3134
Egyéb referencia: xforce.iss.net

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-61757 – Oracle Fusion Middleware Missing Authentication for Critical Function sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-58034 – Fortinet FortiWeb OS Command Injection sérülékenysége
CVE-2025-13224 – Google Chrome sérülékenysége
CVE-2025-13223 – Google Chromium V8 Type Confusion sérülékenysége
CVE-2025-24893 – XWiki Platform Eval Injection sérülékenysége
CVE-2025-25256 – Fortinet FortiSIEM sebezhetősége
CVE-2022-40684 – Fortinet Multiple Products Authentication Bypass sebezhetősége
CVE-2025-59367 – ASUS DSL Router sérülékenysége
Tovább a sérülékenységekhez »