Vigil@nce - Trend Micro Internet Security : exécution de code via extSetOwner
octobre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut inviter la victime à consulter une page web
contenant l’ActiveX UfPBCtrl.dll de Trend Micro Internet Security,
afin de faire exécuter du code sur sa machine.
Gravité : 2/4
Date création : 04/10/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Trend Micro Internet Security Pro 2010 installe
l’ActiveX UfPBCtrl.dll sur la machine de l’utilisateur.
La méthode extSetOwner() de cet ActiveX utilise l’adresse d’une
zone mémoire pour changer un objet. Cependant, l’ActiveX ne
vérifie pas la validité de cette adresse.
Un attaquant peut donc inviter la victime à consulter une page web
contenant l’ActiveX UfPBCtrl.dll de Trend Micro Internet Security,
afin de faire exécuter du code sur sa machine.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET