製品・ソフトウェアに関する情報

JVN脆弱性詳細

Norton AntiVirus などで使用される Symantec NAVOPTS.DLL ActiveX コントロールにおけるコントロールをクラッシュされる脆弱性

Title	Norton AntiVirus などで使用される Symantec NAVOPTS.DLL ActiveX コントロールにおけるコントロールをクラッシュされる脆弱性
Summary	Norton AntiVirus、Internet Security、および System Works で使用される Symantec NAVOPTS.DLL ActiveX コントロールは、以下の脆弱性が存在します。 (1) アプリケーションに組み込まれた Web ブラウザのみ使用するように設計されている、Web 上のコンテンツ処理に関する不備があるため、"コントロールをクラッシュ" される脆弱性が存在します。 (2) Internet Explorer を "defunc state" に配置するため、スクリプティングが安全か否かの設定に関わらず、他の Symantec ActiveX コントロールと共に、任意のコードを実行される脆弱性が存在します。本脆弱性は、E-mail Auto-Protect の問題となっていましたが、その問題には、CVE-2007-3771 が割り当てられました。
Possible impacts	第三者により、以下の影響を受ける可能性があります。 (1) "コントロールをクラッシュ" される可能性があります。 (2) 他の Symantec ActiveX コントロールを含む任意のコードを実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 9, 2007, midnight
Registration Date	Dec. 20, 2012, 6:02 p.m.
Last Update	Dec. 20, 2012, 6:02 p.m.

CVSS2.0 : 危険
Score	8.5
Vector	AV:N/AC:M/Au:S/C:C/I:C/A:C

Affected System

シマンテック

Norton AntiVirus 12.2.0.13

Norton Internet Security

Norton SystemWorks 2005 および 2006

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2006-3456	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3456
National Vulnerability Database (NVD)
2	CVE-2006-3456	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2006-3456

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	Name	URL
Symantec Corporation
1	SYM07-005	http://www.symantec.com/avcenter/security/Content/2007.05.09.html

Change Log

No	Changed Details	Date of change
0	[2012年12月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2006-3456

Summary	The Symantec NAVOPTS.DLL ActiveX control (aka Symantec.Norton.AntiVirus.NAVOptions) 12.2.0.13, as used in Norton AntiVirus, Internet Security, and System Works 2005 and 2006, is designed for use only in application-embedded web browsers, which allows remote attackers to "crash the control" via unspecified vectors related to content on a web site, and place Internet Explorer into a "defunct state" in which remote attackers can execute arbitrary code in addition to other Symantec ActiveX controls, regardless of whether they are marked safe for scripting. NOTE: this CVE was inadvertently used for an E-mail Auto-Protect issue, but that issue has been assigned CVE-2007-3771.
Publication Date	May 11, 2007, 7:19 p.m.
Registration Date	Jan. 29, 2021, 3:41 p.m.
Last Update	July 20, 2017, 10:32 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:symantec:norton_antivirus:2005:::::::*
cpe:2.3:a:symantec:norton_antivirus:2006:::::::*
cpe:2.3:a:symantec:norton_internet_security:2005:::::::*
cpe:2.3:a:symantec:norton_internet_security:2006:::::::*
cpe:2.3:a:symantec:norton_system_works:2005:::::::*
cpe:2.3:a:symantec:norton_system_works:2006:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=529	IDEFENSE	Vendor Advisory
2	http://osvdb.org/35075	OSVDB
3	http://secunia.com/advisories/25172	SECUNIA	Vendor Advisory
4	http://www.securityfocus.com/bid/23822	BID
5	http://www.securitytracker.com/id?1018031	SECTRACK
6	http://www.symantec.com/avcenter/security/Content/2007.05.09.html	CONFIRM	Vendor Advisory
7	http://www.vupen.com/english/advisories/2007/1751	VUPEN	Vendor Advisory
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/34200	XF

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:symantec:norton_antivirus:2005:::::::*
cpe:2.3:a:symantec:norton_antivirus:2006:::::::*
cpe:2.3:a:symantec:norton_internet_security:2005:::::::*
cpe:2.3:a:symantec:norton_internet_security:2006:::::::*
cpe:2.3:a:symantec:norton_system_works:2005:::::::*
cpe:2.3:a:symantec:norton_system_works:2006:::::::*