Falla crítica de SAP deja sistemas vulnerables a ataques
Una seria falla ActiveX en la interfaz gráfica de usuario para SAP (SAPgui) puede ser explotada por un atacante para obtener acceso a archivos e información crítica.
SAPgui es usado en las aplicaciones de planeamiento de recursos de empresas (ERP). Establecida en Waldorf, Alemania, [SAP] el proveedor de software dice que tiene más de 75.000 clientes.
La vulnerabilidad puede ser explotada remotamente por un atacante no auntentificado, según informa una advertencia del Equipo de Respuesta a Incidentes de Computación de Estados Unidos (US-CERT). La falla está en un control ActiveX, MDrmSap, la cual puede hacer caer al Internet Explorer cuando está manipulando el código malicioso, dijo el US-CERT.
El centro danés de referencia de vulnerabilidades Secunia le da a esta falla la categoría de altamente crítica. Para explotar la falla, un atacante debe engañar al usuario para que vea un sitio web malicioso o un mensaje de correo, dice Secunia.
SAP publicó una actualización que corrige la falla. Como medida provisoria de protección se puede desactivar el control ActiveX en el Internet Explorer fijándole el “kill bit” correspondiente o desactivando los controles ActiveX en la Zona Internet, dice el US-CERT en su boletín de advertencia.
Traducido para el Blog de Segu-Info por Raúl Batista
Fuente: Search Security.com
http://secunia.com/advisories/32682/
http://service.sap.com/sap/support/notes/1142431
SAPgui es usado en las aplicaciones de planeamiento de recursos de empresas (ERP). Establecida en Waldorf, Alemania, [SAP] el proveedor de software dice que tiene más de 75.000 clientes.
La vulnerabilidad puede ser explotada remotamente por un atacante no auntentificado, según informa una advertencia del Equipo de Respuesta a Incidentes de Computación de Estados Unidos (US-CERT). La falla está en un control ActiveX, MDrmSap, la cual puede hacer caer al Internet Explorer cuando está manipulando el código malicioso, dijo el US-CERT.
El centro danés de referencia de vulnerabilidades Secunia le da a esta falla la categoría de altamente crítica. Para explotar la falla, un atacante debe engañar al usuario para que vea un sitio web malicioso o un mensaje de correo, dice Secunia.
SAP publicó una actualización que corrige la falla. Como medida provisoria de protección se puede desactivar el control ActiveX en el Internet Explorer fijándole el “kill bit” correspondiente o desactivando los controles ActiveX en la Zona Internet, dice el US-CERT en su boletín de advertencia.
Traducido para el Blog de Segu-Info por Raúl Batista
Fuente: Search Security.com
http://secunia.com/advisories/32682/
http://service.sap.com/sap/support/notes/1142431
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!