ACDSee Photo Editor 2008 nem biztonságos könyvtár betöltéses sérülékenysége


2011. június 8. 07:10

CH azonosító

CH-5005

Angol cím

ACDSee Photo Editor 2008 Insecure Library Loading Vulnerability

Felfedezés dátuma

2011.06.06.

Súlyosság

Magas

Érintett rendszerek

ACDSee Photo Editor
ACDSystems

Érintett verziók

ACDSee Photo Editor 2008

Összefoglaló

Az ACDSee Photo Editor 2008 olyan sérülékenységét fedezték fel, amelyet a támadók kihasználhatnak a felhasználó sérülékeny rendszerének feltörésére.

Leírás

A sérülékenységet az okozza, hogy az alkalmazás nem biztonságos módon tölti be a könyvtárakat (pl. Wintab32.dll és CV11-DialogEditor.dll). Ez kihasználható tetszőleges könyvtár betöltésére – DLL hijacking támadáson keresztül -, ha a felhasználó megnyit egy távoli WebDAV vagy SMB megosztáson elérhető Photo document (APD) fájlt.

A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.

A sérülékenységet a 291 beépített verzióban igazolták. Más verziók is érintettek lehetnek.

Megoldás

Ne nyisson meg megbízhatatlan fájlokat.

Támadás típusa

Hijacking (Visszaélés)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 43563

Legfrissebb sérülékenységek
CVE-2022-3683 – Hitachi Energy’s MicroSCADA System Data Manager SDM600 sérülékenysége
CVE-2022-3682 – Hitachi Energy’s MicroSCADA System Data Manager SDM600 sérülékenysége
CVE-2023-28303 – Windows képmetsző sérülékenysége
CVE-2023-26359 – Adobe ColdFusion sérülékenysége
CVE-2023-1289 – ImageMagick sérülékenysége
CVE-2023-1050 – Koc Energy Web Report System sérülékenysége
CVE-2022-22512 – VARTA Storage Web-UI sérülékenysége
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
Tovább a sérülékenységekhez »