Выполнение произвольного кода в Microsoft Visual Studio ActiveX компонентах

Дата публикации:
17.09.2007
Дата изменения:
27.02.2008
Всего просмотров:
1731
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-4890
CVE-2007-4891
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Visual Studio 6.0 SP4
Уязвимые версии:
Microsoft Visual Studio 6 Enterprise
Microsoft Visual Studio 6 Professional

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за того, что методы "StartProcess()" и "SyncShell()" в PDWizard.ocx ActiveX компоненте могут быть использованы для выполнения произвольных команд на системе. Также сообщатся о наличии следующих небезопасных методов: "SaveAs()", "CABDefaultURL()", "CABFileName()" и "CABRunFile()".

2. Уязвимость существует из-за наличия методов "Load()" и "SaveAs()" в VBTOVSI.DLL ActiveX компоненте. Удаленный пользователь может загрузить локальный файл и сохранить его в произвольной директории на системе.

URL производителя: www.microsoft.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Microsoft Visual Studio 6.0 (PDWizard.ocx) Remote Command Execution
Microsoft Visual Studio 6.0 (VBTOVSI.DLL 1.0.0.0) File Overwrite Exploit

или введите имя

CAPTCHA
17-09-2007 10:12:49
Выполнение произвольного кода в Microsoft Visual Studioкнопкой F5, что-ли?
0 |
17-09-2007 10:32:12
Ctrl+S
0 |