Se reportó una vulnerabilidad en un control ActiveX de desinstalación de First4Internet XCP, que podría explotarse para comprometer el sistema de un usuario.
US-CERT Vulnerability Note
312073
First4Internet XCP | == | Content Management |
Se reportó una vulnerabilidad en el control ActiveX de desinstalación de First4Internet XCP, que podría explotarse por personas maliciosas para comprometer el sistema de un usuario.
La vulnerabilidad se debe a que el control ActiveX "CodeSupport.ocx" que se define via Internet Explorer cuando el usuario desinstala el programa XCP DRM visitando el sitio Web del vendedor se marca "safe-for-scripting" y soporta varios métodos peligrosos como "RebootMachine", "InstallUpdate", y "IsAdministrator". Esto podría explotarse para instalar código arbitrario en el sistema de un usuario.
Una explotación exitosa requiere que el usuario visite un sitio Web malicioso.
Acceso al sistema.
Retirar el control ActiveX desde el sistema si esta instalado.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT