Vigil@nce : IE, vulnérabilités de multiples ActiveX de février 2009
février 2009 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Plusieurs ActiveX permettent à un attaquant distant de mener un
déni de service ou de faire exécuter du code.
Gravité : 2/4
Conséquences : accès/droits utilisateur, lecture de données,
création/modification de données
Provenance : document
Moyen d’attaque : 2 attaques
Compétence de l’attaquant : débutant (1/4)
Confiance : confirmé par un tiers de confiance (4/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 5
Date création : 11/02/2009
PRODUITS CONCERNÉS
– Microsoft Internet Explorer
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs ActiveX permettent à un attaquant distant de mener un
déni de service ou de faire exécuter du code.
Un attaquant peut employer la méthode SaveDoc() de l’ActiveX
Synactis ALL In-The-Box All_In_The_Box.ocx afin de modifier un
fichier sur la machine de la victime. [grav:1/4 ; BID-33535,
CVE-2009-0465, DSECRG-09-006]
Un attaquant peut provoquer un buffer overflow dans l’ActiveX
BlackBerry Application Web Loader AxLoader.ocx/AxLoader.dll afin
d’exécuter du code sur la machine de la victime. [grav:2/4 ;
960715, BID-33663, CVE-2009-0305, KB16248, VU#131100]
Un attaquant peut employer l’ActiveX Akamai Download Manager afin
d’exécuter du code sur la machine de la victime. [grav:2/4 ;
2008-0002, 960715, CVE-2008-1770]
Un attaquant peut provoquer un débordement dans la méthode
SelectDevice() de l’ActiveX Nokia Phoenix Service Software afin
d’exécuter du code sur la machine de la victime. [grav:2/4 ;
BID-33726]
Un attaquant peut employer les méthodes SnapShotToFile() et
SnapShotX() de l’ActiveX GeoVision LiveX_v8200 afin de créer un
fichier sur la machine de la victime. [grav:1/4 ; BID-33782]
CARACTÉRISTIQUES
Références : 2008-0002, 960715, BID-33535, BID-33663, BID-33726,
BID-33782, CVE-2008-1770, CVE-2009-0305, CVE-2009-0465,
DSECRG-09-006, KB16248, VIGILANCE-VUL-8463, VU#131100
http://vigilance.fr/vulnerabilite/IE-vulnerabilites-de-multiples-ActiveX-de-fevrier-2009-8463