Переполнение буфера в AOL Instant Messenger

Дата публикации:
29.10.2009
Дата изменения:
29.10.2009
Всего просмотров:
1166
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
AOL Instant Messenger 6.x
Уязвимые версии: AOL Instant Messenger (AIM) версии до 6.8.7.7

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за знаковой ошибки в реализации библиотеки SIP протокола sipXtapi.dll при обработке пакетов от RTCP отправителя. Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. Для успешной эксплуатации уязвимости пользователь должен принять Video Messaging сессию.

2. Уязвимость существует из-за ошибки в библиотеке sipXtapi.dll при обработке RTP данных. Удаленный пользователь может с помощью специально сформированного "Extension Length" RTP заголовка вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. Для успешной эксплуатации уязвимости требуется наличие активной голосовой сессии пользователя.

URL производителя: www.aim.com

Решение: Установите последнюю версию 6.8.7.7 с сайта производителя.

Ссылки: http://www.zerodayinitiative.com/advisories/ZDI-08-097/
http://www.zerodayinitiative.com/advisories/ZDI-08-098/

или введите имя

CAPTCHA