CH azonosító
CH-7485Angol cím
HP Application Lifecycle Management XGO.ocx Two VulnerabilitiesFelfedezés dátuma
2012.08.29.Súlyosság
MagasÉrintett rendszerek
Application Lifecycle ManagementHewlett Packard (HP)
Érintett verziók
HP Application Lifecycle Management 11.x
Összefoglaló
A HP Application Lifecycle Management két olyan sérülékenysége vált ismertté, amelyeket kihasználva a támadók feltörhetik a felhasználó rendszerét.
Leírás
- Egy type confusion hiba a “SetShapeNodeType()” függvényben az XGO.ocx ActiveX vezérlőn belül kihasználható felhasználó-specifikus adatokhoz történő hozzáférésre objektumként.
- A nem biztonságos “CopyToFile()” függvény az XGO.ocx ActiveX vezérlőn belül kihasználható tetszőleges fájlok létrehozására és felülírására.
A sérülékenységek sikeres kihasználása esetén tetszőleges kód futtatható.
Megoldás
Állítsa be a tiltóbitet (kill-bit) az érintett ActiveX vezérlőhözTámadás típusa
Other (Egyéb)System access (Rendszer hozzáférés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)