Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/05/2013
La vulnerabilitat és a causa d’un error en un component DLL relacionat amb el control ActiveX, que podria permetre connexions amb el controlador ODBC (Open DataBase Connectivity, un estàndard d’accés a les bases de dades) quan s’utilitza el navegador web Internet Explorer.
Un atacant podria explotar esta vulnerabilitat i aconseguir executar sentències SQL arbitràries i persuadir un usuari perquè visite un lloc web especialment dissenyat si el servidor local utilitza l'autenticació local.
La vulnerabilitat ha sigut descoberta per Andrea Micalizzi, àlies rgod, i no disposa d’identificador CVE.
Sistemes Afectats:
F-Secure antivirus per a Microsoft Exchange Server 9.x
F-Secure antivirus per a Windows Servers 9.00
F-Secure antivirus per a Citrix Servers 9.00
F-Secure Correu electrònic i Server Security 9.20
F-Secure Server Security 9.20
F-Secure Protection Service per a Business (PSB) Correu electrònic i Server Security 9.20
F-Secure Protection Service per a Business (PSB) Server Security 9.20
None
Solució:F-Secure ha publicat pedaços que estan disponibles en l'FTP oficial per a tots estos productes, excepte per a PSB, l’actualització del qual es realitza de forma automàtica.
Notes:FSC-2013-1: Remote code execution vulnerability in DLL component
F-Secure FTP
Hispasec una-al-dia