Microsoft Active Template Library (ATL) ActiveX Kontrolü Açıklıkları (MS09-060)
Component Object Model (COM) objelerinin programlanmasını kolaylaştırmak için Microsoft tarafından geliştirilmiş Microsoft Visual Studio ATL'de uzaktan kod çalıştırılması veya bilginin açığa çıkmasına neden olan açıklıklar rapor edilmiştir.
Kaynak:
SANS@RISK
Seviye:
Acil
Bildiri Sürümü:
-
Açıklanma Zamanı:
13.10.2009
Yenilenme Zamanı:
-
Etkilenen Sistemler:
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
2007 Microsoft Office System Service Pack 1 and 2007 Microsoft Office System Service Pack 2
Microsoft Visio 2002 Viewer*
Microsoft Office Visio 2003 Viewer*
Microsoft Office Visio Viewer 2007, Microsoft Office Visio Viewer 2007
Service Pack 1, Microsoft Office Visio Viewer 2007 Service Pack 2
Active Template Library (ATL), Component Object Model (COM) objelerinin programlanmasını kolaylaştırmak için Microsoft tarafından geliştirilmiş bir grup C++ sınıfıdır. Microsoft Visual Studio ATL'de uzaktan kod çalıştırılması veya bilginin açığa çıkmasına neden olan açıklıklar rapor edilmiştir.
İlk açıklık, saldırganın doğru şekilde ilklendirilmemiş bir değişkeni VariantClear() fonksiyonuna gönderebilmesiyle ortaya çıkmaktadır. İkinci açıklık, veri akışlarındaki ATL başlıklarının işlenmesindedir. Bu durum Internet Explorer'da killbit gibi belirli güvenlik mekanizmalarının atlatılmasına izin verebilmektedir. Üçüncü açıklık bazı ATL başlıklarının NULL baytlarla bitmeyen karakter dizisi verisini okumasından kaynaklı bilginin açığa çıkması açıklığıdır. Özel olarak tasarlanmış bir web sayfası saldırganın bu açıklıklardan faydalanmasını sağlayabilir.
Etki:
İstenmeyen kod çalıştırma, bilginin açığa çıkması
Çözüm:
Açıklıklar üretici firma duyurulmuş ve güncellemeleri yayınlanmıştır
Acil