Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1328

[MS/Active-X] Schwachstelle in der Verarbeitung von Active-X
(2006-10-30 12:55:37.467256+00)

Quelle: http://www.kb.cert.org/vuls/id/589272

Eine Schwachstelle in den Routinen zur Ausführung des Active-X-Controls ADODB.Connection, kann von einem Angreifer potentiell dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des browsenden Benutzers auf dem beherbergenden System auszuführen. Das Control stellt eine OLE-basierte Schnittschtelle zu Datenbanksystemen bereit. Insbesondere die Integration von Active-X in den Internetexplorer stellt ein Einfallstor für Angriffe, diese Schwachstelle ausnutzend, von außerhalb dar: ein Benutzer muss lediglich eine entsprechend präparierte HTML-Seite, z.B. im Web oder in einer E-Mail-Nachricht, betrachten, um Opfer eines solchen Angriffes zu werden. Bislang ist nur sog. Proof-of-Concept Exploitcode verfügbar, jedoch wird damit gerechnet, dass entsprechende Angriffe bald stattfinden. Patches existieren noch nicht, daher wird die generelle Abschaltung des ActiveScripting insbesondere im Internetexplorer empfohlen.
(VU#589272, CVE-2006-5559)

(og)


Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1328