Security Lab

Удаленное выполнение произвольных программ в AOL Instant Messenger (AIM)

Дата публикации:24.10.2002
Всего просмотров:1126
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: AOL Instant Messenger 4.x
Описание: Уязвимость, обнаруженная в AOL Instant Messenger (AIM), позволяет атакующему выполнять произвольные программы на системе клиента. Для этого, атакующий должен сконструировать злонамеренную ссылку и послать ее клиенту. При клике на эту ссылку, выполнится файл, на который она ссылается. Для успешной эксплуатации уязвимости атакующий должен знать точное местоположение вызываемого файла, причем полный путь и имя такого файла не должны содержать пробелов. Т.е. запускаемой программе например не могут быть переданы параметры командной строки. Пример:
<a href ="../../../../progra~1/trojan/trojan.exe">www.example.com</a>
Уязвимость обнаружена в AOL Instant Messenger 4.7.2480 - 4.7.2480
Ссылки: AIM 4.8.2790 remote file execution vulnerability