AOL dnUpdater ActiveX dnu.exe の Init() メソッドのリモートコードの実行
high Nessus プラグイン ID 61463
Language:
概要
リモートホストに、リモートコードの実行の脆弱性の影響を受ける ActiveX コントロールがあります。説明
リモートホストには、1.1.25.1 より前のバージョンの AOL dnUpdater ActiveX コントロール(dnu.exe)のインストールがあります。このため、コントロールの「Init()」メソッドの「pData」引数によって渡された関数ポインターを適切に検証しないと報告されています。リモートの攻撃者がユーザーを騙して、ユーザーの権限にしたがって任意のコードを実行する可能性がある、特別に細工されたページを開かせることでこの脆弱性を悪用する可能性があります。
注意:このコントロールは、America Online の Toolbar、Desktop、および IM、並びに Winamp に含まれていると報告されています。
ソリューション
コントロールを無効化/削除するか、更新手順について ZDI アドバイザリを参照してください。参考資料
プラグインの詳細
深刻度: High
ID: 61463
ファイル名: aol_dnupdater_activex_rce.nasl
バージョン: 1.7
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2012/8/9
更新日: 2020/11/24
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
CVSS スコアの根本的理由: Manual analysis of the vulnerability
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 6.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS スコアのソース: manual
脆弱性情報
CPE: cpe:/a:aol:dnupdater
必要な KB アイテム: SMB/Registry/Enumerated
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2012/6/21
脆弱性公開日: 2012/6/21
参照情報
BID: 54146