Boletines de Vulnerabilidades |
Vulnerabilidad en el ActiveX acpRunner de IBM |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado | acpRunner Activex 1.2.5.0 |
Descripción |
|
Se ha descubierto una vulnerabilidad en la versión 1.2.5.0 del ActiveX acpRunner de IBM. La vulnerabilidad reside en el manejo de ciertos métodos como "DownloadURL", "SaveFilePath" y "Download" que podrían permitir descargar archivos arbitrarios en una localización especificada del disco duro. La explotación de esta vulnerabilidad podría permitir a un atacante remoto obtener acceso al sistema de una víctima mediante una página Web especialmente diseñada. Es importante destacar que el ActiveX vulnerable esta firmado por IBM, por lo tanto, si un usuario confía en IBM aceptará la ejecución del ActiveX. |
|
Solución |
|
Actualización de software IBM Access Support http://www-306.ibm.com/pc/support/site.wss/document.do?lndocid=MIGR-51860 |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2004-0586 |
BID | |
Recursos adicionales |
|
eEye Security Advisory AD20040615A http://www.eeye.com/html/research/advisories/AD20040615A.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2004-06-18 |
1.1 | CAN añadido | 2004-06-28 |