发布日期：2005-01-22
更新日期：2005-01-24

受影响系统：

DivX DivX Player 2.6

描述：

---

CVE(CAN) ID: CVE-2005-0304

DivX Player是一款Windows下的DivX文件播放器。

DivX Player在处理皮肤文件时存在问题，远程攻击者可以利用这个漏洞构建恶意皮肤文件，诱使用户处理，覆盖系统文件。

DivX Player使用的皮肤文件是ZIP文件，包含所需的图象和脚本文件，当播放器装载一个皮肤时，会在临时文件中解开ZIP到一个文件夹，不过由于对'../'字符缺少正确处理，构建恶意皮肤文件，诱使用户处理，可覆盖系统文件。

<*来源：Luigi Auriemma （aluigi@pivx.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=110642748517854&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Luigi Auriemma （aluigi@pivx.com）提供了如下测试方法：

http://aluigi.altervista.org/poc/divxplayerbug.dps

建议：

---

厂商补丁：

DivX
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.divx.com/divx/player/

浏览次数：2621
严重程度：0（网友投票）