В клиентской программе SETI@home обнаружена опасная уязвимость

Дата публикации:
08.04.2003
Всего просмотров:
2169
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: По сообщению SkyLined, в "скринсейвере" SETI@Home была обнаружена довольно серьёзная уязвимость, которая в теории позволяет злоумышленнику ставить компьютер, на котором работает SETI@home под контроль, и вдобавок организовывать DoS-атаки на основной сервер.

Во-первых, при установлении связи между клиентом и сервером SETI@home, клиент отправляет серверу данные о компьютере (в частности, о процессоре и операционной системе) в незашифрованном виде, так что выудить эти данные для хакера особой проблемы не составит.

Во-вторых, предположительно все существующие версии клиента подвержены ошибке переполнения буфера, благодаря чему хакер может запустить на компьютере жертвы любой код.

Ошибка переполнения буфера, очевидно, наличествовала и на основном сервере. Сейчас уже выпущено соответствующее обновление, которое можно скачать с основного сервера SETI@home.

Ссылки: Seti@home information leakage and remote compromise

или введите имя

CAPTCHA