Karol Wiesek poinformował o dwóch krytycznych błędach w
oprogramowaniu Panda
ActiveScan - bezpłatnym skanerze antywirusowym online do
usuwania wirusów, robaków trojanów i wykrywania programów
szpiegujących.
Pierwsza z usterek to błąd brzegowy w kontrolce ActiveX ActiveScan
2.0 AV Class (plik as2guiie.dll). Za pomocą odpowiednio
spreparowanej witryny cyberprzestępca może doprowadzić do błędu
przepełnienia bufora. Druga z luk dotyczy tej samej kontrolki.
Umożliwia ona zainstalowanie dowolnych plików .cab na zaatakowanej
maszynie.
Problemy szerzej opisuje serwis Secunia. Skuteczne
wykorzystanie obu dziur pozwala na zdalne wykonanie dowolnego kodu.
Panda informuje, że luki występują w wersjach wcześniejszych od
1.02.00, a więc użytkownicy wspomnianego oprogramowania powinni
zainstalować tę wersję lub następne.
Aktualizacja, 09.07.2008, 16:00
Panda Security Polska poinformowała nas, że opisywane w newsie
usterki faktycznie występowały, ale dotyczyły wyłącznie
przeglądarki Internet Explorer i zostały naprawione jeszcze 3 lipca
w nowej wersji skanera. Firma zwraca również uwagę, że Panda
ActiveScan jest skanerem online, więc użytkownicy nie muszą
podejmować żadnych dodatkowych działań, by zaktualizować go do
nowej wersji - zawsze dostępna jest tylko najnowsza.