Vulnerability Bulletins |
Vulnerabilidad en el ActiveX acpRunner de IBM |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software | acpRunner Activex 1.2.5.0 |
Description |
|
|
Se ha descubierto una vulnerabilidad en la versión 1.2.5.0 del ActiveX acpRunner de IBM. La vulnerabilidad reside en el manejo de ciertos métodos como "DownloadURL", "SaveFilePath" y "Download" que podrían permitir descargar archivos arbitrarios en una localización especificada del disco duro. La explotación de esta vulnerabilidad podría permitir a un atacante remoto obtener acceso al sistema de una víctima mediante una página Web especialmente diseñada. Es importante destacar que el ActiveX vulnerable esta firmado por IBM, por lo tanto, si un usuario confía en IBM aceptará la ejecución del ActiveX. |
|
Solution |
|
|
Actualización de software IBM Access Support http://www-306.ibm.com/pc/support/site.wss/document.do?lndocid=MIGR-51860 |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2004-0586 |
| BID | |
Other resources |
|
|
eEye Security Advisory AD20040615A http://www.eeye.com/html/research/advisories/AD20040615A.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2004-06-18 |
| 1.1 | CAN añadido | 2004-06-28 |