[NEWS] Trend Micro HouseCall ActiveX Control "notifyOnLoadNative()" Vulnerability

c.m.g · 22-12-2008, 10:50

21 dicembre 2008

La società di sicurezza Secunia riporta un Advisory (SA31583) in cui si spiega che è stata trovata una vulnerabilità in Trend Micro HouseCall, giudicata dalla stessa come Highly critical, che potrebbe essere sfruttata da malintenzionati per compromettere il sistema di un utente ingnaro.

La vulnerabilità è insita in un errore contenuto nel controllo ActiveX di HouseCall (Housecall_ActiveX.dll). Questa falla permetterebbe a malintenzionati di interagire con la memoria di sistema traendo in inganno un utente ignaro e a convincerlo ad aprire una pagina web contenente una chiamata alla funzione "notifyOnLoadNative()" creata ad hoc per sfruttare la falla.

Lo sfruttamento con successo della falla permetterebbe l'esecuzione di codice arbitrario malevolo.

La vulnerabilità è stata confermata nelle versioni 6.51.0.1028 e 6.6.0.1278. Altre versioni potrebbe essere affette dal medesimo bug.

Nello specifico:
Trend Micro HouseCall ActiveX Control 6.x
Trend Micro HouseCall Server 6.x

Soluzione:
Rimuovere il controllo ActiveX buggato e installare la nuova versione 6.6.0.1285.
http://prerelease.trendmicro-europe.com/hc66/launch/

Per HouseCall Server Edition:
Applicare l'hotfix B1285. Per maggiori info, leggere l'advisory del produttore.

Falla scoperta da:
Alin Rad Pop, Secunia Research.

Advisory d'origine:
Secunia Research:
http://secunia.com/secunia_research/2008-34/

Trend Micro:
http://esupport.trendmicro.com/suppo...&id=EN-1038646

Fonte: Secunia

c.m.g · 23-12-2008, 14:45

ripreso da webnews:

http://www.webnews.it/news/leggi/984...cro-housecall/

22-12-2008, 10:50	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Trend Micro HouseCall ActiveX Control "notifyOnLoadNative()" Vulnerability 21 dicembre 2008 La società di sicurezza Secunia riporta un Advisory (SA31583) in cui si spiega che è stata trovata una vulnerabilità in Trend Micro HouseCall, giudicata dalla stessa come Highly critical, che potrebbe essere sfruttata da malintenzionati per compromettere il sistema di un utente ingnaro. La vulnerabilità è insita in un errore contenuto nel controllo ActiveX di HouseCall (Housecall_ActiveX.dll). Questa falla permetterebbe a malintenzionati di interagire con la memoria di sistema traendo in inganno un utente ignaro e a convincerlo ad aprire una pagina web contenente una chiamata alla funzione "notifyOnLoadNative()" creata ad hoc per sfruttare la falla. Lo sfruttamento con successo della falla permetterebbe l'esecuzione di codice arbitrario malevolo. La vulnerabilità è stata confermata nelle versioni 6.51.0.1028 e 6.6.0.1278. Altre versioni potrebbe essere affette dal medesimo bug. Nello specifico: Trend Micro HouseCall ActiveX Control 6.x Trend Micro HouseCall Server 6.x Soluzione: Rimuovere il controllo ActiveX buggato e installare la nuova versione 6.6.0.1285. http://prerelease.trendmicro-europe.com/hc66/launch/ Per HouseCall Server Edition: Applicare l'hotfix B1285. Per maggiori info, leggere l'advisory del produttore. Falla scoperta da: Alin Rad Pop, Secunia Research. Advisory d'origine: Secunia Research: http://secunia.com/secunia_research/2008-34/ Trend Micro: http://esupport.trendmicro.com/suppo...&id=EN-1038646 Fonte: Secunia __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 22-12-2008 alle 10:52.

23-12-2008, 14:45	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	ripreso da webnews: http://www.webnews.it/news/leggi/984...cro-housecall/ __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email