发布日期：2000-05-07
更新日期：2000-05-08

受影响系统：

id Software Quake3 Arena 1.16n
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0

描述：

---

Quake3Arena联机游戏存在一个安全问题，一个Quake3 Arena游戏服务器可以获取对远程玩
家的主机读写甚至执行任意代码的权限。该服务器的管理员可以访问并写入Quake3 Arena
安装目录的任意已知上级目录。这个问题是由于Quake3 Arena所带的SDK包的实现所造成的，
它允许修改文件系统，而且客户端没有正确处理"..\"的字符串。尽管对安装目录的上级目
录访问时将线是错误信息，但是访问仍然可以进行。这个问题如果和Quake3 Arena的自动
下载功能结合起来，就可以完成一次真正有效的攻击。

<* 来源：Internet Security Systems <xforce@iss.net> *>


建议：

---

从主菜单中选择'setup'，再选择"game options",禁止掉'automatic downloading'功能

浏览次数：6260
严重程度：0（网友投票）