CH azonosító
CH-3875Angol cím
ACDSee Canvas Insecure Library Loading VulnerabilityFelfedezés dátuma
2010.10.31.Súlyosság
MagasÖsszefoglaló
Az ACDSee Canvas olyan sérülékenységét fedezték fel, melyet kihasználva a támadók tetszőleges kódot futtathatnak a felhasználó rendszerén.
Leírás
A sérülékenység oka, hogy az alkalmazás nem biztonságos módon tölti be a könyvtárakat (pl. DWMAPI.dll, Wintab32.dll, és CV11-DialogEditor.dll). Ez tetszőleges könyvtár betöltésére használható DLL hijacking támadáson keresztül, ha a felhasználó megnyit egy távoli WebDAV vagy SMB megosztáson elérhető CVX fájlt.
A sikeres kiaknázás tetszőleges kód lefuttatását teszi lehetővé.
A sérülékenységet a 12 Build 1389 verzióban igazolták. Más verziók is érintettek lehetnek.
Megoldás
Kizárólag megbízható forrásból származó fájlokat nyisson meg!
