製品・ソフトウェアに関する情報

JVN脆弱性詳細

Revit Architecture で使用される LiveUpdate ActiveX コントロールの UpdateEngine クラスにおける任意のプログラムを実行される脆弱性

タイトル	Revit Architecture で使用される LiveUpdate ActiveX コントロールの UpdateEngine クラスにおける任意のプログラムを実行される脆弱性
概要	Revit Architecture および Autodesk Design Review で使用される LiveUpdate ActiveX コントロール (LiveUpdate16.DLL) の UpdateEngine クラスには、任意のプログラムを実行される脆弱性が存在します。
想定される影響	第三者により、ApplyPatch メソッドへの second 引数を介して、任意のプログラムを実行される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2008年10月7日0:00
登録日	2012年6月26日16:02
最終更新日	2012年6月26日16:02

影響を受けるシステム

オートデスク株式会社

Autodesk Design Review 2009

dwf viewer

revit architecture 2009 SP2

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-4472	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4472
National Vulnerability Database (NVD)
2	CVE-2008-4472	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4472

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
Autodesk
1	Top Page	http://usa.autodesk.com/

変更履歴

No	変更内容	変更日
0	[2012年06月26日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2008-4472

概要	The UpdateEngine class in the LiveUpdate ActiveX control (LiveUpdate16.DLL 17.2.56), as used in Revit Architecture 2009 SP2 and Autodesk Design Review 2009, allows remote attackers to execute arbitrary programs via the second argument to the ApplyPatch method.
公表日	2008年10月8日5:00
登録日	2021年1月29日13:43
最終更新日	2018年10月12日5:51

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:autodesk:design_review:2009:::::::*
cpe:2.3:a:autodesk:dwf_viewer::::::::
cpe:2.3:a:autodesk:revit_architecture:2009:sp2::::::

関連情報、対策とツール

No	URL	refsource
1	http://images.autodesk.com/adsk/files/live_update_hotfix0.html	MISC
2	http://retrogod.altervista.org/9sg_autodesk_revit_arch_2009_exploit.html	MISC
3	http://securityreason.com/securityalert/4361	SREASON
4	http://usa.autodesk.com/adsk/servlet/ps/dl/item?siteID=123112&id=12452198&linkID=11705366	MISC
5	http://www.securityfocus.com/archive/1/496847/100/0/threaded	BUGTRAQ
6	http://www.securityfocus.com/bid/31490	BID
7	http://www.vupen.com/english/advisories/2008/2704	VUPEN
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/45521	XF
9	https://www.exploit-db.com/exploits/6630	EXPLOIT-DB

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html