• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уязвимость инициализации ATL COM

Главная Специалистам База уязвимостей Уязвимость инициализации ATL COM

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Flash Player (10.0.0.0, 10.0.22.87, 9.0.0.0, 9.0.159.0) Shockwave Player (1.0, 11.5.1.601)
Описание
Уязвимость, которая позволяет удаленно выполнить код, существует в Microsoft Active Template Library (ATL) из-за ошибки в ATL-заголовках при обработке экземпляра объекта из потоков данных. Данная уязвимость касается только систем, в которых установленные компоненты, скомпилированные с использованием Visual Studio ATL. Для компонентов, скомпилированных с использованием ATL, небезопасное использование OleLoadFromStream позволяет использовать экземпляры любых объектов. Это дает возможность обойти политики безопасности, например, kill bit для Internet Explorer. Данная уязвимость позволяет пользователю, который действует удаленно и не прошел аутентификацию, выполнить код в уязвимой системе. Для эксплуатации данной уязвимости злоумышленник должен создать специальную веб-страницу. Когда пользователь просматривает эту веб-страницу, данная уязвимость позволяет удаленно выполнить код.