Oracle Hyperion Strategic Finance Formula One ActiveX vezérlő “SetDevNames()” puffer túlcsordulás sérülékenység

CH azonosító

CH-5909

Angol cím

Oracle Hyperion Strategic Finance Formula One ActiveX Control "SetDevNames()" Buffer Overflow

Felfedezés dátuma

2011.11.06.

Súlyosság

Magas

Érintett rendszerek

Hyperion Strategic Finance
Oracle

Érintett verziók

Oracle Hyperion Strategic Finance 11.x
Oracle Hyperion Strategic Finance Formula One ActiveX Control 6.x

Összefoglaló

Az Oracle Hyperion Strategic Finance olyan sérülékenysége vált ismertté, melyet kihasználva a támadók feltörhetik a felhasználó rendszerét.

Leírás

A sérülékenységet egy határhiba okozza a Formula One ActiveX vezérlő (TTF16.ocx) “SetDevNames()” eljárásában. Ez kihasználható halom túlcsordulás előidézésére egy túl hosszú string átadásával pl. a “DriverName” paraméterben.

Sikeres kihasználás esetén tetszőleges kód futtatható.

A sérülékenységet a 11.1.2.1.0. verzióban (TTF16.ocx 6.3.5.1. verzió) igazolták.

Megoldás

Állítsa be a tiltóbitet (kill-bit) az érintett ActiveX vezérlőhöz

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »