Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/05/2013
La vulnerabilidad se debe a un error en un componente DLL relacionado con el control ActiveX, que podría permitir conexiones con el driver ODBC (Open DataBase Connectivity, un estándar de acceso a las bases de datos) cuando se utiliza el navegador web Internet Explorer.
Un atacante podría explotar esta vulnerabilidad y lograr ejecutar sentencias SQL arbitrarias persuadiendo a un usuario para que visite un sitio web especialmente diseñado si el servidor local utiliza laautenticación local.
La vulnerabilidad ha sido descubierta por Andrea Micalizzi, alias rgod, y no dispone de identificador CVE.
Sistemas Afectados:F-Secure Anti-Virus para Microsoft Exchange Server 9.x
F-Secure Anti-Virus para Windows Servers 9.00
F-Secure Anti-Virus para Citrix Servers 9.00
F-Secure Email y Server Security 9.20
F-Secure Server Security 9.20
F-Secure Protection Service para Business (PSB) Email y Server Security 9.20
F-Secure Protection Service para Business (PSB) Server Security 9.20
None
Solución:F-Secure ha publicado parches que se encuentran disponibles en el FTP oficial para todos estos productos, salvo para PSB, cuya actualización se realiza de forma automática.
Notas:FSC-2013-1: Remote code execution vulnerability in DLL component
F-Secure FTP
Hispasec una-al-dia