• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уязвимость при инициализации ATL COM

Главная Специалистам База уязвимостей Уязвимость при инициализации ATL COM

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Microsoft Internet Explorer (5.01 SP4, 6.0, 6.0 SP1) Microsoft Visio Viewer (2002, 2003, 2007 SP1, 2007 SP2) Microsoft Updates (KB2183461, KB2360131, KB2416400, KB2482017, KB2497640, KB2530548, KB2559049, KB2586448, KB2618444, KB2647516, KB2675157, KB2699988, KB2719177, KB2722913, KB2744842, KB2761451, KB2761465, KB2792100, KB2809289, KB2817183, KB2829530, KB2838727, KB2846071, KB2862772, KB2870699, KB2879017, KB2888505, KB2898785, KB2909921, KB2919355, KB2925418, KB2936068, KB2957689, KB2962872, KB2963950, KB2963952, KB2976627, KB2977629, KB2987107, KB3003057, KB3008923, KB3021952, KB3032359, KB3038314, KB3049563, KB3058515, KB3065822, KB3078071, KB3087038, KB3093983, KB3100773, KB3104002, KB3124275, KB976325, KB978207, KB980182, KB982381, SP1)
Описание
Уязвимость, которая позволяет удаленно выполнить код, существует в управляющем элементе ActiveX, который скомпилирован с использованием уязвимых заголовков Microsoft Active Template Library (ATL). Этой уязвимости подвержены только системы, в которых установлены компоненты, скомпилированные с помощью  Visual Studio ATL. Такие компоненты позволяют обойти политику безопасности (например, kill bit в Internet Explorer) и установить произвольный объект. Поэтому данная уязвимость позволяет выполнить произвольный код. Для эксплуатации данной уязвимости злоумышленник должен создать специально сформированную веб-страницу. Когда пользователь просматривает такую веб-страницу, уязвимость позволяет выполнить код.
Как исправить
Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/Bulletin/MS09-072.mspx
Ссылки
MS (MS09-072): http://www.microsoft.com/technet/security/bulletin/ms09-072.mspx

Источник: CVE
Наименование: CVE-2009-2493
URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2493