Использование небезопасных методов в IDAutomation Barcode ActiveX компонентах

Дата публикации:
15.05.2008
Дата изменения:
15.05.2008
Всего просмотров:
1288
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
IDAutomation Aztec Barcode Font & Encoder 1.x
IDAutomation Data Matrix Barcode Font & Encoder 1.x
IDAutomation Linear Barcode ActiveX Control 1.x
IDAutomation PDF417 Barcode Font and Encoder 1.x
Уязвимые версии:
IDAutomation Linear Barcode ActiveX Control 1.6.0.6, возможно другие версии
IDAutomation Data Matrix Barcode Font & Encoder 1.6.0.6, возможно другие версии
IDAutomation PDF417 Barcode Font and Encoder 1.6.0.6, возможно другие версии
IDAutomation Aztec Barcode Font & Encoder 1.7.1.0, возможно другие версии

Описание:
Уязвимость позволяет удаленному пользователю перезаписать произвольные файлы на системе.

Уязвимость существует из-за того, что ActiveX компоненты IDAuto.BarCode.1 (IDAutomationLinear6.dll), IDAuto.Datamatrix.1 (IDAutomationDMATRIX6.DLL), IDAuto.PDF417.1 (IDAutomationPDF417_6.dll) и IDAuto.Aztec.1 (IDAutomationAZTEC.dll) используют небезопасные методы "SaveBarCode()" и "SaveEnhWMF()". Удаленный пользователь может с помощью специально сформированного Web сайта перезаписать и повредить произвольные файлы на системе.

URL производителя: idautomation.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: IDAutomation Bar Code ActiveX Multiple Remote Vulnerabilities PoC