安全研究

安全漏洞
Epic Games Unreal Tournament Engine UMOD manifest.ini远程任意文件覆盖漏洞

发布日期:2004-04-22
更新日期:2004-04-27

受影响系统:
Epic Games Unreal Engine 436
Epic Games Unreal Engine 433
Epic Games Unreal Tournament 451b
Epic Games Unreal Tournament 2003 2225 win32
Epic Games Unreal Tournament 2003 2225 macOS
Epic Games Unreal Tournament 2003 2199 win32
Epic Games Unreal Tournament 2003 2199 macOS
不受影响系统:
Epic Games Unreal Tournament 2004 win32
Epic Games Unreal Tournament 2004 macOS
描述:
BUGTRAQ  ID: 10196
CVE(CAN) ID: CVE-2004-1958

EpicGames开发的Unreal引擎支持UMOD文件格式可方便安装游戏扩展程序。

Epic Games Unreal缺少正确的输入验证,远程攻击者可以利用这个漏洞指定任意系统文件作为覆盖对象,而导致本地文件破坏。

由于对manifest.ini进行处理时,没有对目录格式为'..\'的字符进行正确处理,可导致绕过目录限制覆盖系统中任意文件。

<*来源:Luigi Auriemma (aluigi@pivx.com
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108267310519459&w=2
*>

建议:
厂商补丁:

Epic Games
----------
Unreal Tournament 2004不存在此漏洞,建议用户采用新版本:

http://www.unrealtournament.com/

浏览次数:2972
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障