Panda Security ActiveScan におけるコンポーネントのデジタル署名を検証しない問題
| Title |
Panda Security ActiveScan におけるコンポーネントのデジタル署名を検証しない問題
|
| Summary |
Panda ActiveScan は、ウイルスやスパイウェアなどをオンラインでスキャンする製品です。 Panda ActiveScan のインストーラコンポーネントには、ダウンロードされたソフトウェアコンポーネントのデジタル署名を検証しない問題が存在します。
|
| Possible impacts |
細工された HTML 文書を読み込んだ場合、ユーザの権限で任意のコードを実行される可能性があります。 |
| Solution |
[アップデートする] 開発者は対策版として、as2stubie.dll 1.3.3.0 を提供しています。 Panda ActiveScan のウェブサイトにアクセスし、コンポーネントをアップデートすることで最新版に更新されます。 [ワークアラウンドを実施する] 対策版を適用するまでの間、以下の回避策を適用することで、本問題の影響を軽減することができます。 ・セキュリティ更新プログラム MS10-008(http://www.microsoft.com/japan/technet/security/bulletin/ms10-008.mspx) を適用することで、当該 ActiveX コントロールの kill bit が設定されます。 |
| Publication Date |
Feb. 12, 2010, midnight |
| Registration Date |
March 12, 2010, 3:12 p.m. |
| Last Update |
March 12, 2010, 3:12 p.m. |
|
CVSS2.0 : 危険
|
| Score |
9.3
|
| Vector |
AV:N/AC:M/Au:N/C:C/I:C/A:C |
Affected System
| Panda Security |
|
Panda ActiveScan 2.0 (as2stubie.dll 1.3.3.0 より前のバージョン)
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2010年03月12日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2009-3735
| Summary |
The ActiveScan Installer ActiveX control in as2stubie.dll before 1.3.3.0 in PandaActiveScan Installer 2.0 in Panda ActiveScan downloads software in an as2guiie.cab archive located at an arbitrary URL, and does not verify the archive's digital signature before installation, which allows remote attackers to execute arbitrary code via a URL argument to an unspecified method.
|
| Publication Date |
Feb. 12, 2010, 2:30 a.m. |
| Registration Date |
Jan. 29, 2021, 1:24 p.m. |
| Last Update |
Oct. 13, 2018, 6:56 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:panda:panda_activescan:2.0:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List