Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Oracle JInitiator beans.ocx ActiveX Control : Vulnérabilités de Dépassement de Tampon

29/08/2007 15H35
Référence Secunia : SA26644 
Date de publication : 2007-08-29

Risque : Elevé. Niveau 4 sur 5.
Impact : Accès au système
Lieu : A distance


Solutions :
Non corrigée


Produit :
Oracle JInitiator 1.x

Référence CVE :
CVE-2007-4467



Description :
Will Dormann a rapporté quelques vulnérabilités dans le Oracle JInitiator "beans.ocx" contrôle ActiveX, qui pourrait être exploitée par des personnes malintentionnées pour compromettre un système vulnérable.

Les vulnérabilités sont causées du fait d'erreurs dans le Oracle JInitiator "beans.ocx" contrôle ActiveX lors du traitement de certains paramètres d'initialisation non-spécifiés. Cela pourrait être exploité pour entrainer des débordements de la pile (stack overflows) par ex. en incitant un utilisateur à visiter un site web malicieux.

L'exploitation de ce problème peut permettre l'exécution de code arbitraire.

Les vulnérabilités sont rapportées en version 1.1.8.16 d'Oracle JInitiator. Les autres versions pourraient également être affectées.


Solutions :
Définir le kill-bit pour le contrôle ActiveX affecté.


Vulnérabilité découverte par :

Will Dormann, CERT/CC.

Référence :
US-CERT VU#474433:
http://www.kb.cert.org/vuls/id/474433




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.