Érintett rendszerek
ACDSeeACDSee Photo Editor
ACDSee Pro
ACDSystems
ACDsee Pro 2 Photo Manager
Érintett verziók
ACDSystems ACDSee 9.x,10.x
ACDSystems ACDSee Pro 8.x
ACDSystems ACDSee Photo Editor 4.x
ACDSystems ACDsee Pro 2 Photo Manager 2.x
Összefoglaló
Különböző ACDSee termékek többféle sérülékenységét azonosították, melyeket a támadók felhasználhatnak szolgáltatás megtagadás okozására vagy az érintett rendszer fölötti teljes ellenőrzés megszerzésére.
Leírás
A Secunia Research az ACDSee termékek több sérülékenységét is felfedezte, melyeket rosszindulatú felhasználók a rendszer feltörésére használhatnak ki.
- Az ID_PSP.apl input érvényesítési hibája a PSP kép fájlok feldolgozásakor, kiaknázható egy gyűjtő-puffer túlcsordulásának előidézésére egy erre a célra készített PSP image fájllal.
- Az ID_PSP.apl egész túlcsordulási hibája a PSP image fájlok feldolgozásakor, kiaknázható egy gyűjtő-puffer túlcsordulásának előidézésére egy erre a célra készített PSP image fájllal.
- Az AM_LHA.apl input érvényesítési hibája az LHA archive-ok feldolgozásakor, kiaknázható egy gyűjtő-puffer túlcsordulásának előidézésére egy erre a célra készített LHA archive-val.
Megjegyzés: Alapértelemzés szerint az AM_LHA.apl plugint nem installálja ACDSee Photo Editor.
A sérülékenységek sikeres kiaknázása lehetővé teszi tetszőleges kód lefuttatását.
A sérülékenységeket az ACDSee Photo Manager 9.0 verziójában (build 108), az ACDSee Pro Photo Manager 8.1 verziójában (build 99) és az ACDSee Photo Editor 4.0 verziójában (build 195) bizonyították. Más verziók is lehetnek érintettek.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: files.acdsystems.com
Gyártói referencia: www.acdsee.com
SECUNIA 25952
Egyéb referencia: www.vupen.com
CVE-2007-4344 - NVD CVE-2007-4344