Po trumpo užliūliavimo – ir dviejų padirbinėjimų – grįžta „klaidų mėnesio“ saugos projektai, šį kartą taikantys programinės įrangos kūrėjų naudojamų ActiveX valdiklių trūkumus.
Po trumpo užliūliavimo – ir duklastotės – „Klaidų mėnesio“ saugos projektai grįžta, šį kartą taikydami programinės įrangos kūrėjų naudojamų ActiveX valdiklių trūkumus.
The MoAxB (ActiveX klaidų mėnuo) prasidėjo gegužės 1 d. su išsamia informacija apie „Office OCX PowerPoint Viewer“ – „ActiveX“ valdiklio, leidžiančio programoms rodyti „Microsoft PowerPoint“ failus ir sąveikauti su jais, paslaugų atsisakymo trūkumą.
FrSIRT šią klaidą vertina kaip „kritišką“ ir įspėja gali būti įmanomas kodo vykdymas:
Šią problemą sukelia buferio perpildymo klaida „PowerPointViewer.ocx“, kai iškviečiami tam tikri metodai, pvz. „HttpDownloadFile()“ su per ilgu argumentai, kuriuos nuotoliniai užpuolikai gali panaudoti, kad vykdytų savavališkas komandas, apgaudinėdami vartotoją apsilankyti specialiai sukurtame žiniatinklyje. puslapį.
Antrasis MoAxB leidimas, kuris yra įsilaužėlio, žinomo kaip "
shinnai“, tiksliai nurodo kelias „Excel Viewer OCX“ skyles, kurios taip pat gali kelti kodo vykdymo riziką.Secunia skiria „labai kritišką“ įvertinimą šiuo klausimu:
Pažeidžiamumas atsiranda dėl „Excel Viewer ActiveX“ valdiklio (ExcelViewer.ocx) ribų klaidų. Juos galima išnaudoti siekiant sukelti kamino buferio perpildymą, naudojant per ilgus argumentus, perduodamus tam tikriems metodams (pvz., „HttpDownloadFile()“ arba „OpenWebFile()“). Sėkmingas išnaudojimas gali leisti vykdyti savavališką kodą, kai vartotojas apsilanko kenkėjiškoje svetainėje.