Security Lab

Выполнение произвольного кода в Microsoft Time ActiveX компоненте

Дата публикации:13.12.2011
Всего просмотров:2355
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVSSv2 рейтинг: 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
CVE ID: CVE-2011-3397
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Storage Server 2003
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Уязвимые версии:
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003
Microsoft Windows XP

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за неизвестной ошибки в Microsoft Time ActiveX компоненте (DATIME.DLL). Удаленный пользователь может с помощью специально сформированной web-страницы выполнить произвольны код на целевой странице.

Примечание: Исправление безопасности также содержит kill-биты для ActiveX компонентов сторонних производителей:
Dell IT
Assistant
HP Easy Printer Care Software
HP Photo Creative
Yahoo!
CD Player

Уязвимость не распространяется на Microsoft Windows Vista, Microsoft Windows Server 2008 и Microsoft Windows 7, но поскольку выпущенное Microsoft исправление содержит инструкции по деактивации уязвимых ActiveX компонентов сторонних производителей, рекомендуется установить соответствующие исправления на эти системы.

URL производителя: http://www.microsoft.com

Решение: Установите исправления с сайта производителя.

Windows XP Service Pack 3
http://www.microsoft.com/downloads/details.aspx?familyid=21b4b999-2dbf-4921-80bd-cc7ab2cd1190

Windows XP Professional x64 Edition Service Pack 2
http://www.microsoft.com/downloads/details.aspx?familyid=126e8092-980d-471a-867d-d5939671b7df

Windows Server 2003 Service Pack 2
http://www.microsoft.com/downloads/details.aspx?familyid=dfb948c5-8aee-4bcd-babf-3564b78712dd

Windows Server 2003 x64 Edition Service Pack 2
http://www.microsoft.com/downloads/details.aspx?familyid=2d37a8cb-2316-4db4-980c-11b6dcbdc696

Windows Server 2003 with SP2 for Itanium-based Systems
http://www.microsoft.com/downloads/details.aspx?familyid=7726ddbe-0578-44fb-a40f-49b804a45989

Windows Vista Service Pack 2
http://www.microsoft.com/downloads/details.aspx?familyid=1dd069a2-fb1a-4f31-88cc-bc031c3e2c80

Windows Vista x64 Edition Service Pack 2
http://www.microsoft.com/downloads/details.aspx?familyid=60fd5bf6-e820-44f6-8081-b98c0103acc1

Windows Server 2008 for 32-bit Systems Service Pack 2
http://www.microsoft.com/downloads/details.aspx?familyid=f485d4c3-a4af-4ae6-9404-e79afcbb4f6e

Windows Server 2008 for x64-based Systems Service Pack 2
http://www.microsoft.com/downloads/details.aspx?familyid=28598ef6-13fb-44fd-8c76-599af7b0a01d

Windows Server 2008 for Itanium-based Systems Service Pack 2
http://www.microsoft.com/downloads/details.aspx?familyid=5915e19c-b576-453b-b621-5737774f5955

Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1
http://www.microsoft.com/downloads/details.aspx?familyid=d112623c-86ce-434a-8fe1-ec3e3e632763

Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1
http://www.microsoft.com/downloads/details.aspx?familyid=81114ecd-0c73-4ca6-8a66-09c6c636a5db

Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1
http://www.microsoft.com/downloads/details.aspx?familyid=bc018647-08cb-431a-8e7c-5dc04980eaa9

Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
http://www.microsoft.com/downloads/details.aspx?familyid=9323b9b9-e9b0-4941-afe0-196d22df9ab4
Ссылки: MS11-090: Cumulative Security Update of ActiveX Kill Bits (2618451)