HSC : Exécution de code arbitraire à distance sur Kaspersky en ligne (Kaspersky Online Scanner)
octobre 2007 par HSC
Criticité HSC : 4/5 - haute
Exploitation : Disponible mais non publique
Résumé : Une vulnérabilité dans l’ActiveX de Kaspersky Online, utilisé pour la détection en ligne de virus sur son système, permet la prise de contrôle à distance d’un système à partir de la navigation sur un site web spécialement conçu.
Source : Harmony Security
Objet : Kaspersky, Microsoft IE
Description :
Stephen Fewer, de Harmony Security, a découvert que l’ActiveX nécessaire
à l’exécution de Kaspersky Online
(http://www.kaspersky.com/virusscanner), qui reste installé après
l’exécution de l’antivirus sauf en cas de désinstallation manuelle,
possède une vulnérabilité de type "erreur de chaîne de format" (format
string).
L’exploitation de cette vulnérabilité nécessite que le système ait déjà
installé l’ActiveX de Kaspersky Online. L’ActiveX incriminé, une fois
installé, peut être activé par n’importe quel site web que l’utilisateur
visite avec Internet Explorer, sauf configuration contraire explicite.
L’exploitation réussie de la vulnérabilité permet l’exécution de code à
distance et donc la compromission du système qui possède l’ActiveX de
Kaspersky.
Cette vulnérabilité est référencée dans la base du MITRE sous le nom
CVE-2007-3675 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3962) bien que cette entrée ne soit pas encore rendue publique à l’heure
actuelle.
Des vers se propageant par email, incitant à se rendre sur un site web
spécialement conçu, mentionnant Kaspersky dans des sources JavaScript,
ont été très récemment observés par HSC, et pourraient être liés à cette
vulnérabilité.