• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уязвимость при инициализации COM в ATL

Главная Специалистам База уязвимостей Уязвимость при инициализации COM в ATL

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Microsoft Updates (KB2288953, KB2449798, KB2825644, KB2825999, KB2863811, KB972363, KB980373, KB980376)
Описание
Уязвимость, которая позволяет удаленно выполнить код, существует в библиотеке Microsoft Active Template Library (ATL) из-за ошибок в заголовках ATL, которые обрабатывают установку объекта из потока данных. Уязвимость влияет только на системы с компонентами, которые были скомпилированы с использованием Visual Studio ATL. Для компонентов, скомпилированных с помощью ATL, небезопасное использование OleLoadFromStream позволяет устанавливать произвольные объекты и таким образом обойти политики безопасности, например, kill bits в Internet Explorer. Эта уязвимость позволяет пользователям, которые действуют удаленно и не прошли аутентификацию, удаленно выполнить код. Для эксплуатации данной уязвимости злоумышленник должен создать специально сформированную веб-страницу. Когда пользователь просматривает такую веб-страницу, уязвимость позволяет злоумышленнику удаленно выполнить код.
Как исправить
Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/Bulletin/MS09-060.mspx
Ссылки
MS (MS09-060): http://www.microsoft.com/technet/security/bulletin/ms09-060.mspx

Источник: CVE
Наименование: CVE-2009-2493
URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2493