← volver
CVE-2008-0015

CVE-2008-0015

CVSS 8.8 HIGHEPSS 76.6%● KEVCWE-121
En resumen

Un error en el componente de reproductor de vídeo de Microsoft permite que atacantes ejecuten código malicioso en tu computadora al visitar una página web especialmente creada. La falla permite a los atacantes sobrescribir memoria para inyectar y ejecutar instrucciones dañinas.

Detalle técnico

Desbordamiento de buffer basado en pila en la función CComVariant::ReadFromStream dentro del control ActiveX MPEG2TuneRequest (msvidctl.dll) de ATL. Los atacantes remotos pueden explotarlo a través de contenido web manipulado para lograr ejecución arbitraria de código; la explotación requiere interacción del usuario (visitar una página maliciosa) y afecta Windows 2000 SP4 hasta Vista SP2 y Server 2008.

Resumen generado y traducido por IA a partir de la descripción oficial.
Stack-based buffer overflow in the CComVariant::ReadFromStream function in the Active Template Library (ATL), as used in the MPEG2TuneRequest ActiveX control in msvidctl.dll in DirectShow, in Microsoft Windows 2000 SP4, XP SP2 and SP3, Server 2003 SP2, Vista Gold, SP1, and SP2, and Server 2008 Gold and SP2 allows remote attackers to execute arbitrary code via a crafted web page, as exploited in the wild in July 2009, aka "Microsoft Video ActiveX Control Vulnerability."
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a
PoCs públicas encontradas2
exploitdbwww.exploit-db.com/exploits/16615no verificadoexploitdbwww.exploit-db.com/exploits/9108no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://blogs.technet.com/srd/archive/2009/08/11/ms09-037-why-we-are-using-cve-s-already-used-in-ms09-035.aspxhttp://isc.sans.org/diary.html?storyid=6733http://osvdb.org/55651https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-032https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-037http://secunia.com/advisories/36187https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6333https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6363https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7436https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2008-0015http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=799http://www.iss.net/threats/329.html