|
受影响系统:
WinZip WinZip 8.1 SR-1
WinZip WinZip 8.1
WinZip WinZip 8.0
WinZip WinZip 7.0
不受影响系统:
WinZip WinZip 9.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 9758
WinZip是Windows平台下的解压缩工具。
WinZip中的函数在进行部分参数解析时存在问题,远程攻击者可以利用这个漏洞构建恶意压缩文档诱使用户处理,可能以WinZip进程权限在系统上执行任意指令。
问题存在于UUDeview包中,此功能用于支持多个解码函数,当提供超长字符串给部分MIME档((.mim, .uue, .uu, .b64, .bhx, .hqx和.xxe扩展)参数,WinZip会出现"internal error in file misc.c line 132"而崩溃。精心构建恶意压缩档,当目标用户使用Winzip解析MIME时,可触发缓冲区溢出,可能以WinZip进程权限在系统上执行任意指令。
<*来源:iDEFENSE
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107789846720924&w=2
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
WinZip
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
目前的WinZip 9.0已经修正此漏洞,建议用户下载使用:
http://www.winzip.com/
|
