A több mint 66 ezer vírus észlelésére és irtására alkalmas online (böngészőn keresztül elérhető) Panda ActiveScan 5 az első használat előtt feltelepít néhány állományt a felhasználó gépére (pl. az ascontrol.dll-t a C:\WINDOWS\system32\ActiveScan alkönyvtárba), amelyek rossz kezelése hibát okozhat. Egy COM (Component Object Model) objektum létrehozásakor &#8211.|.Object() – a túl sok karakter megadása (az object.Internacional elem megadásánál) a puffer túlcsordulását okozhatja. Ilyen esetben 255 karakterre van méretezve a tömb, amit nem lenne szabad túllépni a bemenet megadásakor, illetve a programozóknak forráskód szinten kellene ellenőrizniük a paraméter hosszát. Az objektum létrehozható helyben (local) és távolról (remote) is egy megfelelően megírt HTML oldalba ágyazott script révén, miáltal – a hibát kihasználva – a támadó tetszőleges programkód futtatására lesz képes a felhasználó számítógépén.

Az object.SetSitesFile elem létrehozásakor is ki lehet "akasztani" a számítógépet a nem megfelelő paraméterezéssel (a bemeneten mindössze egy URL-t, a régiót és a használt nyelvet kell megadni).

Hasonló – a COM objektumok létrehozásakor jelentkező – hibát találtak az Adobe Photoshop 8.0-as verziójában is. Az értesítés 2004. április 6-án jelent meg a SecurityFocus.com oldalán.

Szabó Áron (BME IK ITSec Csoport – IHM-együttműködés)