安全研究
安全漏洞
Hotfoon Dialer远程缓冲区溢出漏洞
发布日期:2002-11-11
更新日期:2002-11-18
受影响系统:Hotfoon Hotfoon 4.0
描述:
BUGTRAQ ID:
6156
Hotfoon.com是PC到电话,PC到PC电话,即时信息聊天服务的提供商。使用客户端程序hotfoon4.exe来访问服务,其中包括dialer拨号。
hotfoon4.exe对要拨的电话号码字段缺少正确的边界检查,远程攻击者可以利用这个漏洞进行缓冲区溢出攻击。
hotfoon4.exe程序包含电话号码输入字段,但对这个字段的输入没有进行正确的缓冲区边界检查,输入过多号码可以导致发生缓冲区溢出。此溢出可以远程利用,因此拨号程序定义了名为"Voice"的URL协议,并在系统中已注册。如URL "voice:23456"会启动hotfoon4.exe并拨"23456"的电话号码。因此,远程攻击者提交"Voice:......<exploit string>"可以使程序崩溃,可能导致以hotfoon4.exe进程的权限在系统中执行任意指令。
<*来源:S G Masood (
sgmasood@yahoo.com)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=103703061413023&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
S G Masood (
sgmasood@yahoo.com)提供了如下测试方法:
Voice:aaaaaa.....76a's...<exploit string>
建议:
厂商补丁:
Hotfoon
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.hotfoon.com浏览次数:2774
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |