spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

Ana Menü

Anasayfa
Etkinlikler
Güvenlik Bildirileri
Teknik Yazılar
Kılavuzlar
Herkes İçin Güvenlik
Raporlar
Duyurular
Terimler Sözlüğü
Site İçerisinde Arama
İçerik Arşivi
TR-BOME KM
TR-CERT
Ortak Kriterler
 

spacer.png, 0 kB
 spacer.png, 0 kB
Microsoft Visual Studio Active Template Kütüphanesi Çoklu Açıklıkları (MS09-035) Yazdır E-posta
Active Template Library (ATL) Component Object Model (COM) nesnelerini daha kolay programlamak için Microsoft tarafından geliştirilmiş bir grup C++ sınıfıdır. Microsoft Visual Studio ATL'de istenmeyen kod çalıştırılması veya bilginin açığa çıkması ile sonuçlanan çoklu açıklıklar bulunmuştur.
Kaynak: SANS@RISK
 
Seviye:  Acil
Bildiri Sürümü: -
Açıklanma Zamanı: 28.07.2009
Yenilenme Zamanı: -
Etkilenen Sistemler: Microsoft Visual Studio .NET 2003 Service Pack 1
Microsoft Visual Studio 2005 Service Pack 1
Microsoft Visual Studio 2005 Service Pack 1 64-bit Hosted Visual C++ Tools
Microsoft Visual Studio 2008
Microsoft Visual Studio 2008 Service Pack 1
Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package
Microsoft Visual C++ 2008 Redistributable Package
Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package
 
CVE: CVE-2009-2493 
BID: 35828 35845 35846 35847
Referanslar: Microsoft Security Bulletin
http://www.microsoft.com/technet/security/Bulletin/MS09-035.mspx
Adobe Security Advisories http://www.adobe.com/support/security/advisories/apsa09-04.html
http://www.adobe.com/support/security/bulletins/apsb09-11.html
Cisco Security Advisory http://www.cisco.com/warp/public/707/cisco-sa-20090728-activex.shtml
SecurityFocus BID  http://www.securityfocus.com/bid/35828
http://www.securityfocus.com/bid/35845
http://www.securityfocus.com/bid/35846
http://www.securityfocus.com/bid/35847
Yazar(lar): -
 
Açıklama: Active Template Library (ATL) Component Object Model (COM) nesnelerini daha kolay programlamak için Microsoft tarafından geliştirilmiş bir grup C++ sınıfıdır. Microsoft Visual Studio ATL'de istenmeyen kod çalıştırılması veya bilginin açığa çıkması ile sonuçlanan çpklu açıklıklar bulunmuştur.
İlk açıklık ATL başlıklarındaki hatadan dolayı VariantClear'ın doğru şekilde ilklendirilmemesinden kaynaklanmaktadır. Böylece özel olarak tasarlanmış zararlı bir akış ile VariantClear çağrıldığındaki durum saldırgan tarafından kontrol edilebilmektedir. İkinci açıklık, ATL başlıklarının nesneleri işlemesindeki hata kaynaklıdır. Saldırganın Internet Explorer'da bloklanmış güvenilmeyen bir ActiveX kontrolünü çalıştırabilmesini sağlamaktadır. Üçüncü açıklık bazı ATL başıklarının karakter dizisi okuması kaynaklı bilginin açığa çıkmasıdır. Microsoft Visual Studio ATL kullanan başka üreticilere ait ürünlerde bu açıklıklardan etkilenebilmektedir. Bu tip ürünlere örnek olarak Adobe Flash Player, Adobe Shockwave Player ve Cisco Unity Player verilebilir.
Etki: İstenmeyen kod çalıştırma, bilginin açığa çıkması
Çözüm: Açıklık üretici firma tarafından doğrulanmış, güncellemeler yayınlanmıştır
 
[ Geri ]
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2012 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB