CH azonosító
CH-6782Angol cím
McAfee Virtual Technician MVTControl ActiveX Control Code Execution VulnerabilityFelfedezés dátuma
2012.04.30.Súlyosság
MagasÉrintett rendszerek
McAfeeVirtual Technician
Érintett verziók
McAfee Virtual Technician 6.x
McAfee Virtual Technician MVTControl ActiveX control 6.x
Összefoglaló
A McAfee Virtual Technician MVTControl ActiveX vezérlő sérülékenységét jelentették, amelyet kihasználva a támadók tetszőleges kódot futtathatnak.
Leírás
A sérülékenységet a “GetObject()” függvény (mvt.dll) okozza, amely tetszőleges COM objektumok példányosítását teszi lehetővé. Ezt kihasználva, “WScript.Shell” komponens alkalmazásával, az “Exec()” függvénnyel tetszőleges parancsot lehet futtatni.
A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.
A sérülékenységet a 6.3.0.1911.verzióban jelentették, de más verziók is érintettek lehetnek.
Megoldás
Állítsa be a tiltóbitet (kill-bit) az érintett ActiveX vezérlőhözTámadás típusa
Other (Egyéb)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: retrogod.altervista.org
SECUNIA 49007