Boletines de Vulnerabilidades |
Vulnerabilidad en el ActiveX eGatherer de IBM |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | Comercial Software |
| Software afectado | IBM Access Support (eGatherer) Activex 2.0.0.16 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad en la versión 2.0.0.16 del ActiveX "eGatherer" de Access Support de IBM. La vulnerabilidad reside en el manejo de ciertos métodos como "GetMake", "GetModel", "GetOSName", "SetDebugging" o "RunEgatherer" que podrían permitir escribir archivos arbitrarios en una localización dada del disco duro. La explotación de esta vulnerabilidad podría permitir a un atacante remoto obtener acceso al sistema de una víctima mediante una página Web especialmente diseñada. Es importante destacar que el ActiveX vulnerable esta firmado por IBM, por lo tanto, si un usuario confía en IBM aceptará la ejecución del ActiveX. |
|
Solución |
|
|
Actualización de software IBM Access Support http://www-306.ibm.com/pc/support/site.wss/document.do?lndocid=MIGR-51860 |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | |
| BID | |
Recursos adicionales |
|
|
eEye Security Advisory AD20040615B http://www.eeye.com/html/research/advisories/AD20040615B.html |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2004-06-18 |