Множественные уязвимости в McAfee SaaS Endpoint Protection ActiveX компоненте

Дата публикации:
22.08.2011
Всего просмотров:
663
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
CVE ID:
CVE-2011-3006
CVE-2011-3007
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
McAfee SaaS Endpoint Protection 5.x
Уязвимые версии: McAfee SaaS Endpoint Protection 5.2.1 и более ранние версии.

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки в MyASUtil ActiveX компоненте (MyAsUtil5.2.0.603.dll) при обработке метода CreateSecureObject(). Удаленный пользователь может с помощью специально сформированного Web сайта внедрить и выполнить произвольные команды на системе с привилегиями текущего пользователя.

2. Уязвимость существует из-за наличия небезопасного метода Start() в MyCioScan ActiveX компоненте (myCIOScn.dll). Удаленный пользователь может с помощью специально сформированного Web сайта записать данные в произвольные файлы на системе с привилегиями текущего пользователя.

URL производителя: www.mcafee.com/us/products/saas-endpoint-protection-suite.aspx

Решение: Установите последнюю версию 5.2.2 с сайта производителя.

Ссылки: https://kc.mcafee.com/corporate/index?page=content&id=SB10016
http://dvlabs.tippingpoint.com/advisory/TPTI-11-12
http://dvlabs.tippingpoint.com/advisory/TPTI-11-13

или введите имя

CAPTCHA