Security Lab

Использование небезопасного метода в Microsoft Visual FoxPro FPOLE.OCX ActiveX компоненте

Дата публикации:18.10.2007
Дата изменения:13.02.2008
Всего просмотров:2349
Опасность:
Высокая
Наличие исправления: Инстуркции по устранению
Количество уязвимостей:1
CVE ID: CVE-2007-5322
CVE-2007-4790
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Visual FoxPro 6.x
Уязвимые версии: Microsoft Visual FoxPro 6.0, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за того, что FPOLE.OCX ActiveX компонент использует небезопасный метод "FoxDoCmd()". Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольные команды на уязвимой системе.

URL производителя: msdn.microsoft.com/vfoxpro/

Решение: Microsoft предотвратил возможность эксплуатации уязвимости путем установки kill-bit в исправлении MS08-010

Ссылки: Microsoft Visual FoxPro 6.0 FPOLE.OCX Arbitrary Command Execution
(MS08-010) Cumulative Security Update for Internet Explorer (944533)