IBM Lotus iNotes ActiveX Kontrolü Arabellek Taşması

Kaynak:	SANS@RISK

Seviye:	Yüksek
Bildiri Sürümü:	-
Açıklanma Zamanı:	05.03.2010
Yenilenme Zamanı:	-
Etkilenen Sistemler:	IBM Lotus iNotes 8.5 öncesi sürümler IBM Lotus iNotes 7.0.4 öncesi sürümler

CVE:	-
BID:	38457
Referanslar:	iDefense Labs Security Advisory http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=857 IBM Security Advisory http://www-01.ibm.com/support/docview.wss?uid=swg21421808 Microsoft Knowledge Base ("kill bit" mekanizması)http://support.microsoft.com/kb/240797 SecurityFocus BID http://www.securityfocus.com/bid/38457
Yazar(lar):	-

Açıklama:	Daha önce Lotus Domino Web Access adıyla bilinen, IBM Lotus iNotes, popüler bir kurumsal web tabanlı e-posta yazılımıdır. Kullanıcılara iş bilgilerini çevrimiçi ve çevrimdışı yönetme olanağı vermektedir. Lotus iNotes'un web tabanlı çalışma özelliğinin bir kısmını sağlayan Lotus iNotes ActiveX kontrolünde arabellek taşma açıklığı tespit edilmiştir. Bu ActiveX kontrolünü çalıştıran özel olarak tasarlanmış bir web sayfası ile açıklık sömürülebilir. Sözkonusu hata dwa8.dll, dwa8w.dll kütüphanelerinde, URL uzunluğunun yetersiz kontrolünden kaynaklanmaktadır. Saldırganlar çok uzun bir URL kullanarak bu açıklığı sömürebilir ve uzaktan kod çalıştırabilir.
Etki:	Uzaktan kod çalıştırma
Çözüm:	Açıklık üretici firma tarafından doğrulanmış, güncellemeleri yayınlanmıştır. Kullanıcılar bu açıklığın etkisini açıklığın bulunduğu kontrolü Microsoft'un kill bit mekanizmasını kullanarak {3BFFE033-BF43-11d5-A271-00A024A51325, 983A9C21-8207-4B58-BBB8-0EBC3D7C5505, E008A543-CEFB-4559-912F-C27C2B89F13B, 75AA409D-05F9-4f27-BD53-C7339D4B1D0A} sınıf tanımlayıcısı ile devredışı bırakabilir.

[ Geri ]

Görüşleriniz