1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-568 Vulnerabilidad en control ActiveX de desinstalación de First4Internet XCP en los CDs de Sony.

Se reportó una vulnerabilidad en un control ActiveX de desinstalación de First4Internet XCP, que podría explotarse para comprometer el sistema de un usuario.

  • Fecha de Liberación: 16-Nov-2005
  • Ultima Revisión: 1-Dic-2005
  • Fuente:

    US-CERT Vulnerability Note
    312073

  • CVE ID: CAN-2005-3650
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Mal diseño.

Sistemas Afectados

First4Internet XCP == Content Management
  1. Descripción

    Se reportó una vulnerabilidad en el control ActiveX de desinstalación de First4Internet XCP, que podría explotarse por personas maliciosas para comprometer el sistema de un usuario.

      La vulnerabilidad se debe a que el control ActiveX "CodeSupport.ocx" que se define via Internet Explorer cuando el usuario desinstala el programa XCP DRM visitando el sitio Web del vendedor se marca "safe-for-scripting" y soporta varios métodos peligrosos como "RebootMachine", "InstallUpdate", y "IsAdministrator". Esto podría explotarse para instalar código arbitrario en el sistema de un usuario.

      Una explotación exitosa requiere que el usuario visite un sitio Web malicioso.

  2. Impacto

    Acceso al sistema.

  3. Solución

    Retirar el control ActiveX desde el sistema si esta instalado.

  4. Apéndices

    http://www.freedom-to-tinker.com-p=927
    http://hack.fi/~muzzy/sony-drm/
    http://www.kb.cert.org/vuls/id/312073

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT