JVNDB-2010-001895
|
Oracle Siebel Option Pack for IE の ActiveX コントロールのメモリ初期化処理に脆弱性
|
|
Oracle Siebel Option Pack for IE の ActiveX コントロールには、メモリを適切に初期化しない脆弱性が存在します。
Siebel Option Pack for IE は、Oracle Siebel Customer Relationship Management (CRM) software によって提供される ActiveX コントロールです。Siebel Option Pack for IE の ActiveX コントロールは、ファイル名が ieop_aom で始まる様々な DLL によって提供されています。この ActiveX コントロールには、NewBusObi() メソッドが使用するメモリを適切に初期化しない脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 9.3 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
オラクル
- Oracle Siebel Option Pack for IE ActiveX control
|
|
|
細工された HTML を閲覧することで、ユーザの権限で任意のコードを実行される可能性があります。
|
|
[アップデートする]
Oracle が提供している Oracle Critical Patch Update Advisory - October 2010 をもとにアップデートを行ってください。
[ワークアラウンドを実施する]
対策版を適用するまでの間、以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。
* ActiveX コントロールを無効にする
|
|
オラクル
マイクロソフト
|
|
- コード・インジェクション(CWE-94) [NVD評価]
|
|
- CVE-2009-3737
|
|
- JVN : JVNVU#174089
- National Vulnerability Database (NVD) : CVE-2009-3737
- US-CERT Vulnerability Note : VU#174089
- US-CERT Vulnerability Note : MAPG-6URMUW
- Secunia Advisory : SA40804
- VUPEN Security : VUPEN/ADV-2010-2028
- OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 66926
|
|
- [2010年08月31日]
掲載
[2010年10月29日]
対策:対策方法の記述を更新しました。
|
