漏洞起因
设计错误
危险等级
中
影响系统
F-Secure Anti-Virus for Citrix Servers 9.x
F-Secure Anti-Virus for Microsoft Exchange 9.x
F-Secure Anti-Virus for Windows Servers 9.x
F-Secure Server Security 9.x
不受影响系统
危害
远程攻击者利用漏洞执行任意SQL命令。
CVSSv2:
攻击所需条件
攻击者必须构建恶意WEB页,诱使用户解析。
漏洞信息
F-Secure Anti-Virus是功能强大的实时病毒监测和防护系统。F-Secure Server Security是一款系统安全防护套件。
F-Secure Anti-Virus和F-Secure Server Security产品所绑定使用的ActiveX控件存在一个错误,允许攻击者利用漏洞执行任意SQL语句。
要成功利用漏洞需要用户构建恶意WEB页,诱使用户解析,并且需要本地服务器使用本地验证。
测试方法
厂商解决方案
用户可参考如下厂商提供的安全公告获得补丁信息:
http://www.f-secure.com/en/web/labs_global/fsc-2013-1
漏洞提供者
Andrea Micalizzi aka rgod via ZDI.
评论关闭。