发布日期：2002-01-29
更新日期：2002-01-29

受影响系统：

CNET CatchUp 1.3
    - Microsoft Windows XP Home
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows ME
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000

不受影响系统：

CNET CatchUp 1.3.1
    - Microsoft Windows XP Home
CNET CatchUp 1.3.1
    - Microsoft Windows NT 4.0 SP6a
CNET CatchUp 1.3.1
    - Microsoft Windows NT 4.0 SP6
CNET CatchUp 1.3.1
    - Microsoft Windows NT 4.0 SP5
CNET CatchUp 1.3.1
    - Microsoft Windows NT 4.0 SP4
CNET CatchUp 1.3.1
    - Microsoft Windows NT 4.0 SP3
CNET CatchUp 1.3.1
    - Microsoft Windows NT 4.0 SP2
CNET CatchUp 1.3.1
    - Microsoft Windows NT 4.0 SP1
CNET CatchUp 1.3.1
    - Microsoft Windows NT 4.0
CNET CatchUp 1.3.1
    - Microsoft Windows ME
CNET CatchUp 1.3.1
    - Microsoft Windows 98
CNET CatchUp 1.3.1
    - Microsoft Windows 95
CNET CatchUp 1.3.1
    - Microsoft Windows 2000 Server SP2
CNET CatchUp 1.3.1
    - Microsoft Windows 2000 Server SP1
CNET CatchUp 1.3.1
    - Microsoft Windows 2000

描述：

---

BUGTRAQ  ID: 3975
CVE(CAN) ID: CVE-2002-0299

CNET Catchup是一个使用广泛的软件升级工具，运行于Microsoft Windows 9x/ME/NT/2000/XP平台。

CNET Catchup存在一个漏洞，使远程攻击者可以在运行CNET Catchup的机器上执行任意的代码。另外，它还可能让攻击者远程启动CNET Catchup工具。

攻击者可以利用该漏洞完全控制运行CNET Catchup的主机。

<*来源：Brian McWilliams
  
  链接：http://www.newsbytes.com/news/02/173906.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在扫描的时候点击选项菜单的终止按钮，禁止"Start scan on execute"选项。或者暂时停止使用CNet CatchUp。

厂商补丁：

CNET
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

请升级到1.3.1版本：

CNET Catchup 1.3:
CNET Upgrade Catchup 1.3.1
http://catchup.cnet.com/catchup/cu/setup/setup.html?tag=st.cu.cu_fdx.txt.cu_nu

浏览次数：3187
严重程度：0（网友投票）