Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker chef till Enheten för operativ cybersäkerhetsförmåga, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 19 oktober.

Uppdaterad | Publicerad - Sårbarhet, Tillägg webbläsare, SAP

SR09-101 SAP - ActiveX-modul i SAP GUI sårbar

Sårbarheten i ActiveX-modulen "sapirrfc.dll" kan medge exekvering av godtycklig kod.

Problembeskrivning

CVE-referens:-

SAP GUI är en grafisk klient till ekonomisystemet SAP. Microsoft-versionen av produkten innehåller en sårbarhet i ActiveX-modulen "sapirrfc.dll". Accept()-metoden hanterar indata inkorrekt, vilket kan leda till exekvering av godtycklig kod. En extern angripare kan utnyttja säkerhetsbristen genom att lura användaren att öppna en riggad webbsida i Internet Explorer.

För att skydda sig kan ActiveX-modulen inaktiveras:

  • Internet Explorer: Välj "Verktyg" -- "Hantera tilägg" -- "Aktivera eller inaktivera tillägg...".
  • Sätt "kill bit" för ActiveX-modulen som har följande CLSID: 77F12F8A-F117-11D0-8CF1-00A0C91D9D87

Exempel på hur sårbarheten kan utnyttjas finns publikt tillgängligt.

Alexander Polyakov (Digital Security Research Group) upptäckte sårbarheten.

SAP ska enligt uppgift ha en rättad version tillgänglig på sin webbplats.

Påverkade versioner

  • SAP AG SAPgui 6.4

Mer information och programrättningar

http://www.securityfocus.com/bid/35256
http://www.vupen.com/english/advisories/2009/1521
http://xforce.iss.net/xforce/xfdb/50977
http://www.securitytracker.com/alerts/2009/Jun/1022341.html