Security Lab

Удаленная установка и выполнение произвольных файлов в BitDefender Scan Online ActiveX Control

Дата публикации:20.04.2004
Всего просмотров:1683
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: BitDefender Scan Online

Описание: Уязвимость обнаружена в SOFTWIN BitDefender Scan Online. Удаленный пользователь может установить и выполнить произвольные файлы на целевой системе пользователя.

BitDefender Scan Online устанавливает ActiveX компоненту с именем "AVXSCANONLINE.AvxScanOnlineCtrl.1" и CLSID 80DD2229-B8E4-4C77-B72F-F22972D723EA, когда используется служба сканирования.

Удаленный пользователь может создать HTMl,чтобы получить доступ к содержанию всех каталогов на системе и устанавливать и выполнять произвольные файлы на целевой системе пользователя.

Пример/Эксплоит:

<OBJECT id=seemycomputer
codeBase=http://www.bitdefender.com/scan/Msie/bitdefender.cab#version=3,0,0,
 
hspace=0 vspace=0 align="top"
classid=CLSID:80DD2229-B8E4-4C77-B72F-F22972D723EA
width=405 height=180>
<PARAM NAME="_ExtentX" VALUE="6614">
<PARAM NAME="_ExtentY" VALUE="4498">
<PARAM NAME="_StockProps" VALUE="9">
<PARAM NAME="ForeColor" VALUE="0">
<PARAM NAME="BackColor" VALUE="16777215"></OBJECT>

URL производителя: http://www.bitdefender.com/scan/index.html

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: BitDefender Scan Online(ActiveX) - Remote File Download & Execute