Pandan turva-aukko päästää hyökkääjät Windowsiin
0
Panda Activescan 2.0 on web-selaimessa toimiva ilmainen tietoturvan tarkistustyökalu, jossa on paljastunut vakava haavoittuvuus.
Suositun espanjalaisen Panda Security -yhtiön web-pohjaisen Activescan-turvatarkistuksessa on paljastunut haavoittuvuus, jota hyödyntäen rikollinen voi päästä ajamaan ohjelmakoodiaan Windows-koneessa. Käyttäjän oikeudet voidaan kaapata houkuttelemalla hyökkäystarkoitusta varten räätälöidyn web-sivun avulla.
Viestintäviraston haavoittuvuuksien koordinoinnin Cert-fi-yksikkö neuvoo, että vakavan tietoturva-aukon korjaamiseen on saatavana korjauspäivitys. Ohjelma on syytä päivittää tuoreimpaan versioon valmistajan web-sivuilla. Yleensä päivitys tapahtuukin automaattisesti.
Haavoittuvuus hyödyntää sitä, että Panda Activescan toimii Activex-kontrollina Internet Explorer -selaimessa. Muissa selaimissa se toimii nsapi-lisäosana.
Haavoittuvuus on siinä, että asennuksessa käytettävä komponentti as2stubie.dll ei tarkista ladattujen komponenttien digitaalista allekirjoitusta. Komponenttia käytetään muiden Activescan-ohjelmiston komponenttien (as2guiie.cab-paketti) lataamiseen.
Tietoturvauhka koskee Panda Security Activescanin versiota 2.0, ja as2stubie.dll-kirjaston aiempia versioita kuin 1.3.3.0.
Haavoittunut Activex-kontrolli voidaan tehdä toimimattomaksi myös Microsoft-päivityksellä MS10-008.
