Trend Micro Internet Security Pro 2010 ActiveX extSetOwner远程代码执行漏洞

漏洞起因
设计错误
危险等级

 
影响系统
Trend Micro Internet Security Pro 2010
 
不受影响系统
 
危害
远程攻击者可以利用漏洞以浏览器安全上下文执行任意代码。
 
攻击所需条件
攻击者必须构建恶意WEB页,诱使用户访问。
 
漏洞信息
Trend Micro Internet Security Pro 2010是一款趋势科技发行的安全防护套件。
UfPBCtrl.dll ActiveX控件存在缺陷,extSetOwner函数接收参数并假定其是初始化了的指针,指定非法地址,攻击者可以迫使进程调用可控内存域,最终以浏览器安全上下文执行任意代码。
 
测试方法
 
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://esupport.trendmicro.com/pages/Hot-Fix-UfPBCtrldll-is-vulnerable-to-remote-attackers.aspx
 
漏洞提供者
Andrea Micalizzi aka rgod

发表评论?

0 条评论。

发表评论