CH azonosító
CH-5005Angol cím
ACDSee Photo Editor 2008 Insecure Library Loading VulnerabilityFelfedezés dátuma
2011.06.06.Súlyosság
MagasÖsszefoglaló
Az ACDSee Photo Editor 2008 olyan sérülékenységét fedezték fel, amelyet a támadók kihasználhatnak a felhasználó sérülékeny rendszerének feltörésére.
Leírás
A sérülékenységet az okozza, hogy az alkalmazás nem biztonságos módon tölti be a könyvtárakat (pl. Wintab32.dll és CV11-DialogEditor.dll). Ez kihasználható tetszőleges könyvtár betöltésére – DLL hijacking támadáson keresztül -, ha a felhasználó megnyit egy távoli WebDAV vagy SMB megosztáson elérhető Photo document (APD) fájlt.
A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.
A sérülékenységet a 291 beépített verzióban igazolták. Más verziók is érintettek lehetnek.
Megoldás
Ne nyisson meg megbízhatatlan fájlokat.
Támadás típusa
Hijacking (Visszaélés)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)