Vulnerabilidad en el control ActiveX Symantec NAVOPTS.DLL usado en Norton AntiVirus, Internet Security y System Works (CVE-2006-3456)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
11/05/2007
Última modificación:
09/04/2025
Descripción
El control ActiveX Symantec NAVOPTS.DLL (también se conoce como Symantec.Norton.AntiVirus.NAVOptions) versión 12.2.0.13, tal y como es usado en Norton AntiVirus, Internet Security y System Works 2005 y 2006, está diseñado para usarse únicamente en navegadores web integrados en aplicaciones, lo que permite atacantes remotos "crash the control" por medio de vectores no especificados relacionados con el contenido en un sitio web, y colocar Internet Explorer en un "defunct state" en el que los atacantes remotos pueden ejecutar código arbitrario además de otros controles ActiveX de Symantec, independientemente de si están marcados como seguros para el scripting. NOTA: este CVE fue utilizado inadvertidamente para un problema de protección automática de correo electrónico, pero a ese problema ha sido asignado CVE-2007-3771.
Impacto
Puntuación base 2.0
8.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:symantec:norton_antivirus:2005:*:*:*:*:*:*:* | ||
| cpe:2.3:a:symantec:norton_antivirus:2006:*:*:*:*:*:*:* | ||
| cpe:2.3:a:symantec:norton_internet_security:2005:*:*:*:*:*:*:* | ||
| cpe:2.3:a:symantec:norton_internet_security:2006:*:*:*:*:*:*:* | ||
| cpe:2.3:a:symantec:norton_system_works:2005:*:*:*:*:*:*:* | ||
| cpe:2.3:a:symantec:norton_system_works:2006:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=529
- http://osvdb.org/35075
- http://secunia.com/advisories/25172
- http://www.securityfocus.com/bid/23822
- http://www.securitytracker.com/id?1018031=
- http://www.symantec.com/avcenter/security/Content/2007.05.09.html
- http://www.vupen.com/english/advisories/2007/1751
- https://exchange.xforce.ibmcloud.com/vulnerabilities/34200
- http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=529
- http://osvdb.org/35075
- http://secunia.com/advisories/25172
- http://www.securityfocus.com/bid/23822
- http://www.securitytracker.com/id?1018031=
- http://www.symantec.com/avcenter/security/Content/2007.05.09.html
- http://www.vupen.com/english/advisories/2007/1751
- https://exchange.xforce.ibmcloud.com/vulnerabilities/34200