Összefoglaló
Két sérülékenységet fedeztek fel az Amaya szoftverben, melyet kihasználva támadók feltörhetik a felhasználó rendszerét.
Leírás
Két sérülékenységet fedeztek fel az Amaya szoftverben, melyet kihasználva támadók feltörhetik a felhasználó rendszerét.
- A sérülékenységet egy határérték hiba okozza az olyan “script” címkék feldolgozásakor, melyek túlságosan hosszú “defer” atribútummal rendelkeznek. Ez kihasználható verem túlcsordulás okozására, ha a felhasználó megnyit egy káros weblapot.
- Az amaya/XHTMLbuilder.c “ParseCharsetAndContentType()” függvényének határhibáját kihasználva verem túlcsordulás okozható egy különlegesen megszerkesztett, túl nagy karakterkészletet meghatározó, HTML fájllal.
A sebezhetőségek sikeres kihasználása tetszőleges kód futtatását teheti lehetővé.
A sérülékenységet a 11.1 Widows-os verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Ne nyisson meg nem megbízható linkeket és ne látogasson nem megbízható weboldalakat!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: milw0rm.com
SECUNIA 34531
CVE-2009-1209 - NVD CVE-2009-1209
Egyéb referencia: research.voodoo-labs.org