CERT-FI haavoittuvuustiedote 027/2010

Panda ActiveScan -ohjelmiston haavoittuvuus

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Panda ActiveScan -ohjelmistossa on haavoittuvuus, joka mahdollistaa hyökkääjän koodin suorittamisen järjestelmässä käyttäjän oikeuksin houkuttelemalla käyttäjä lataamaan hyökkäystarkoituksessa tehty www-sivu.

Panda ActiveScan on saatavilla ActiveX-kontrollina Internet Explorer -selaimeen ja NSAPI plug-in-lisäosana muihin selaimiin. Asennuksessa käytettävä komponentti (as2stubie.dll), jota käytetään lataamaan ja asentamaan muut ActiveScan-ohjelmiston (as2guiie.cab) komponentit, ei tarkista ladattujen komponenttien digitaalista allekirjoitusta.

HAAVOITTUVAT OHJELMISTOT:

• Panda Security ActiveScan versio 2.0 (as2stubie.dll vanhemmat versiot kuin 1.3.3.0)

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat komponentit osoitteessa http://www.pandasecurity.com/activescan.

Microsoftin päivitys MS10-008 sisältää kill bitin haavoittuvalle ActiveX-kontrollille.

LISÄTIETOA:

• http://www.kb.cert.org/vuls/id/869993
• http://www.kb.cert.org/vuls/id/MAPG-7QPKL3
• http://www.microsoft.com/technet/security/bulletin/MS10-010.mspx
• CERT-FI haavoittuvuustiedote 026/2010
• CVE-2009-3735
  

PÄIVITYSHISTORIA:

10.2.2010, kello 14.00: Julkaistu

Sivua päivitetty 10.02.2010

Tulostusversio