Softwin BitDefender AvxScanOnlineCtrl COM对象信息泄露漏洞

漏洞信息详情

Softwin BitDefender AvxScanOnlineCtrl COM对象信息泄露漏洞

• CNNVD编号：CNNVD-200404-070
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-1947
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2004-04-19
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-28
  
• 厂        商：
  
  softwin
• 漏洞来源：
  Rafel Ivgi, The-In…

BitDefender Scan Online是一款多功能的反病毒产品，包含基于WEB接口的在线扫描系统。
BitDefender AvxScanOnlineCtrl COM对象存在设计错误，远程攻击者利用这个漏洞获得系统敏感信息如文件夹信息。
\”BitDefender Scan Online\”下载和注册如下AvxScanOnlineCtrl COM对象：
\”AVXSCANONLINE.AvxScanOnlineCtrl.1\”
With the following CLSID：
80DD2229-B8E4-4C77-B72F-F22972D723EA
所有属性和函数可使用如下形式访问(HTML对象标记建立的对象)：
\”＜OBJECT id=mymy
codeBase=http：//www.bitdefender.com/scan/Msie/bitdefender.cab＃version=3，0，0，
1
hspace=0 vspace=0 align=\”top\”
classid=CLSID：80DD2229-B8E4-4C77-B72F-F22972D723EA
width=405 height=180＞\”
利用这个问题可获取用户信息，允许远程用户查看所有驱动盘和文件夹信息。

厂商补丁：
Softwin
——-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.bitdefender.com/” target=”_blank”>
http://www.bitdefender.com/

来源: XF
名称: bitdefender-avxscanonline-code-execution(15911)
链接:http://xforce.iss.net/xforce/xfdb/15911

来源: BID
名称: 10175
链接:http://www.securityfocus.com/bid/10175

来源: SECUNIA
名称: 11427
链接:http://secunia.com/advisories/11427

来源: BUGTRAQ
名称: 20040420 Re: BitDefender Scan Online(ActiveX) – Remote File Download & Execute & Private Information Disclosure
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108248367901616&w=2

来源: BUGTRAQ
名称: 20040419 BitDefender Scan Online(ActiveX) – Remote File Download & Execute & Private Information Disclosure
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108240639427412&w=2

来源: BID
名称: 10174
链接:http://www.securityfocus.com/bid/10174

来源: OSVDB
名称: 5549
链接:http://www.osvdb.org/5549

来源: SECTRACK
名称: 1009862
链接:http://securitytracker.com/id?1009862