Использование небезопасного метода в Microsoft Visual FoxPro FPOLE.OCX ActiveX компоненте

Дата публикации:
18.10.2007
Дата изменения:
13.02.2008
Всего просмотров:
2170
Опасность:
Высокая
Наличие исправления:
Инстуркции по устранению
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-5322
CVE-2007-4790
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Microsoft Visual FoxPro 6.x
Уязвимые версии: Microsoft Visual FoxPro 6.0, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за того, что FPOLE.OCX ActiveX компонент использует небезопасный метод "FoxDoCmd()". Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольные команды на уязвимой системе.

URL производителя: msdn.microsoft.com/vfoxpro/

Решение: Microsoft предотвратил возможность эксплуатации уязвимости путем установки kill-bit в исправлении MS08-010

Ссылки: Microsoft Visual FoxPro 6.0 FPOLE.OCX Arbitrary Command Execution
(MS08-010) Cumulative Security Update for Internet Explorer (944533)