c.m.g
22-12-2008, 09:50
21 dicembre 2008
La società di sicurezza Secunia (http://secunia.com/) riporta un Advisory (SA31583 (http://secunia.com/advisories/31583/)) in cui si spiega che è stata trovata una vulnerabilità in Trend Micro HouseCall, giudicata dalla stessa come Highly critical, che potrebbe essere sfruttata da malintenzionati per compromettere il sistema di un utente ingnaro.
La vulnerabilità è insita in un errore contenuto nel controllo ActiveX di HouseCall (Housecall_ActiveX.dll). Questa falla permetterebbe a malintenzionati di interagire con la memoria di sistema traendo in inganno un utente ignaro e a convincerlo ad aprire una pagina web contenente una chiamata alla funzione "notifyOnLoadNative()" creata ad hoc per sfruttare la falla.
Lo sfruttamento con successo della falla permetterebbe l'esecuzione di codice arbitrario malevolo.
La vulnerabilità è stata confermata nelle versioni 6.51.0.1028 e 6.6.0.1278. Altre versioni potrebbe essere affette dal medesimo bug.
Nello specifico:
Trend Micro HouseCall ActiveX Control 6.x
Trend Micro HouseCall Server 6.x
Soluzione:
Rimuovere il controllo ActiveX buggato e installare la nuova versione 6.6.0.1285.
http://prerelease.trendmicro-europe.com/hc66/launch/
Per HouseCall Server Edition:
Applicare l'hotfix B1285. Per maggiori info, leggere l'advisory del produttore.
Falla scoperta da:
Alin Rad Pop, Secunia Research.
Advisory d'origine:
Secunia Research:
http://secunia.com/secunia_research/2008-34/
Trend Micro:
http://esupport.trendmicro.com/suppor...ontentID=EN-1038646&id=EN-1038646
Fonte: Secunia (http://secunia.com/advisories/31583/)
La società di sicurezza Secunia (http://secunia.com/) riporta un Advisory (SA31583 (http://secunia.com/advisories/31583/)) in cui si spiega che è stata trovata una vulnerabilità in Trend Micro HouseCall, giudicata dalla stessa come Highly critical, che potrebbe essere sfruttata da malintenzionati per compromettere il sistema di un utente ingnaro.
La vulnerabilità è insita in un errore contenuto nel controllo ActiveX di HouseCall (Housecall_ActiveX.dll). Questa falla permetterebbe a malintenzionati di interagire con la memoria di sistema traendo in inganno un utente ignaro e a convincerlo ad aprire una pagina web contenente una chiamata alla funzione "notifyOnLoadNative()" creata ad hoc per sfruttare la falla.
Lo sfruttamento con successo della falla permetterebbe l'esecuzione di codice arbitrario malevolo.
La vulnerabilità è stata confermata nelle versioni 6.51.0.1028 e 6.6.0.1278. Altre versioni potrebbe essere affette dal medesimo bug.
Nello specifico:
Trend Micro HouseCall ActiveX Control 6.x
Trend Micro HouseCall Server 6.x
Soluzione:
Rimuovere il controllo ActiveX buggato e installare la nuova versione 6.6.0.1285.
http://prerelease.trendmicro-europe.com/hc66/launch/
Per HouseCall Server Edition:
Applicare l'hotfix B1285. Per maggiori info, leggere l'advisory del produttore.
Falla scoperta da:
Alin Rad Pop, Secunia Research.
Advisory d'origine:
Secunia Research:
http://secunia.com/secunia_research/2008-34/
Trend Micro:
http://esupport.trendmicro.com/suppor...ontentID=EN-1038646&id=EN-1038646
Fonte: Secunia (http://secunia.com/advisories/31583/)