c.m.g
08-02-2008, 20:35
08 febbraio 2008
La società di sicurezza Secunia (http://secunia.com) ha riportato un advisory (SA28804 (http://secunia.com/advisories/28804/)) nel quale si spiega che sono state trovate alcune vulnerabilità in UltraVNC (formerlmente Ultr@VNC 1.x), giudicate Highly critical che potenzialmente potrebbero essere usate da malintenzionati per compromettere il sistema di un utente ignaro.
La vulnerabilità è causata da multipli errori contenuti nel file vncviewer/FileTransfer.cpp. Essi possono essere usati per esecuzioni di attacchi di tipo stack-based buffer overflows, ad esempio inviando dei dati creati ad hoc (per lo scopo) a un software (vncviewer) che è in quel momento in modalità "LISTENING" o traendo in inganno un utente ignaro che lo dirotta verso un server VNC malizioso.
Lo sfruttamento con successo di questo exploit potrebbe permettere l'esecuzione di codice arbitrario (presumibilmente malevolo) sula macchina.
per maggiori info, vi rimando all'advisory (http://secunia.com/advisories/28804/)
La vulnerabilità è stata confermata nella versione 102 e nella release candidate versione 1.0.4 uscita prima del 4 Febraio 2008.
Soluzione:
Aggiornare all'ultima versione.
http://downloads.sourceforge.net/ultr...04-Security-Update-2---Feb-8-2008.zip
Original Advisory:
http://forum.ultravnc.info/viewtopic.php?p=45150#45150
Fonte: Secunia (http://secunia.com/advisories/28804/)
La società di sicurezza Secunia (http://secunia.com) ha riportato un advisory (SA28804 (http://secunia.com/advisories/28804/)) nel quale si spiega che sono state trovate alcune vulnerabilità in UltraVNC (formerlmente Ultr@VNC 1.x), giudicate Highly critical che potenzialmente potrebbero essere usate da malintenzionati per compromettere il sistema di un utente ignaro.
La vulnerabilità è causata da multipli errori contenuti nel file vncviewer/FileTransfer.cpp. Essi possono essere usati per esecuzioni di attacchi di tipo stack-based buffer overflows, ad esempio inviando dei dati creati ad hoc (per lo scopo) a un software (vncviewer) che è in quel momento in modalità "LISTENING" o traendo in inganno un utente ignaro che lo dirotta verso un server VNC malizioso.
Lo sfruttamento con successo di questo exploit potrebbe permettere l'esecuzione di codice arbitrario (presumibilmente malevolo) sula macchina.
per maggiori info, vi rimando all'advisory (http://secunia.com/advisories/28804/)
La vulnerabilità è stata confermata nella versione 102 e nella release candidate versione 1.0.4 uscita prima del 4 Febraio 2008.
Soluzione:
Aggiornare all'ultima versione.
http://downloads.sourceforge.net/ultr...04-Security-Update-2---Feb-8-2008.zip
Original Advisory:
http://forum.ultravnc.info/viewtopic.php?p=45150#45150
Fonte: Secunia (http://secunia.com/advisories/28804/)