| Title | Norton AntiVirus などで使用される Symantec NAVOPTS.DLL ActiveX コントロールにおけるコントロールをクラッシュされる脆弱性 |
|---|---|
| Summary | Norton AntiVirus、Internet Security、および System Works で使用される Symantec NAVOPTS.DLL ActiveX コントロールは、以下の脆弱性が存在します。 (1) アプリケーションに組み込まれた Web ブラウザのみ使用するように設計されている、Web 上のコンテンツ処理に関する不備があるため、"コントロールをクラッシュ" される脆弱性が存在します。 (2) Internet Explorer を "defunc state" に配置するため、スクリプティングが安全か否かの設定に関わらず、他の Symantec ActiveX コントロールと共に、任意のコードを実行される脆弱性が存在します。 本脆弱性は、E-mail Auto-Protect の問題となっていましたが、その問題には、CVE-2007-3771 が割り当てられました。 |
| Possible impacts | 第三者により、以下の影響を受ける可能性があります。 (1) "コントロールをクラッシュ" される可能性があります。 (2) 他の Symantec ActiveX コントロールを含む任意のコードを実行される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 9, 2007, midnight |
| Registration Date | Dec. 20, 2012, 6:02 p.m. |
| Last Update | Dec. 20, 2012, 6:02 p.m. |
| CVSS2.0 : 危険 | |
| Score | 8.5 |
|---|---|
| Vector | AV:N/AC:M/Au:S/C:C/I:C/A:C |
| シマンテック |
| Norton AntiVirus 12.2.0.13 |
| Norton Internet Security |
| Norton SystemWorks 2005 および 2006 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年12月20日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The Symantec NAVOPTS.DLL ActiveX control (aka Symantec.Norton.AntiVirus.NAVOptions) 12.2.0.13, as used in Norton AntiVirus, Internet Security, and System Works 2005 and 2006, is designed for use only in application-embedded web browsers, which allows remote attackers to "crash the control" via unspecified vectors related to content on a web site, and place Internet Explorer into a "defunct state" in which remote attackers can execute arbitrary code in addition to other Symantec ActiveX controls, regardless of whether they are marked safe for scripting. NOTE: this CVE was inadvertently used for an E-mail Auto-Protect issue, but that issue has been assigned CVE-2007-3771. |
|---|---|
| Summary | El control ActiveX Symantec NAVOPTS.DLL (también se conoce como Symantec.Norton.AntiVirus.NAVOptions) versión 12.2.0.13, tal y como es usado en Norton AntiVirus, Internet Security y System Works 2005 y 2006, está diseñado para usarse únicamente en navegadores web integrados en aplicaciones, lo que permite atacantes remotos "crash the control" por medio de vectores no especificados relacionados con el contenido en un sitio web, y colocar Internet Explorer en un "defunct state" en el que los atacantes remotos pueden ejecutar código arbitrario además de otros controles ActiveX de Symantec, independientemente de si están marcados como seguros para el scripting. NOTA: este CVE fue utilizado inadvertidamente para un problema de protección automática de correo electrónico, pero a ese problema ha sido asignado CVE-2007-3771. |
| Publication Date | May 11, 2007, 7:19 p.m. |
| Registration Date | Jan. 29, 2021, 3:41 p.m. |
| Last Update | April 23, 2026, 9:35 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:symantec:norton_antivirus:2005:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:symantec:norton_antivirus:2006:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:symantec:norton_internet_security:2005:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:symantec:norton_internet_security:2006:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:symantec:norton_system_works:2005:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:symantec:norton_system_works:2006:*:*:*:*:*:*:* | |||||