Проэксплуатировав уязвимость, удаленный или локальный атакующий может выполнить произвольный код.
Тайваньский производитель D-Link выпустил обновления прошивки для ряда маршрутизаторов серии D-Link DIR, устраняющие критическую уязвимость, позволявшую удаленному или локальному атакующему выполнить произвольный код.
Уязвимости ( CVE-2016-5681 ) подвержены следующие модели маршрутизаторов: DIR-850L B1, DIR-822 A1, DIR-823 A1, DIR-895L A1, DIR-890L A1, DIR-885L A1, DIR-880L A1, DIR-868L B1, DIR-868L C1, DIR-817L(W) и DIR-818L(W).
Согласно предупреждению CERT/CC, проблема, получившая оценку 9,3 по шкале CVSS, связана с алгоритмом валидации cookie-файлов сессии. Проэксплуатировав уязвимость, удаленный или локальный атакующий может вызвать переполнение буфера и выполнить произвольный код.
По словам производителя, корректирующие обновления прошивок доступны для большей части уязвимых устройств, за исключением моделей DIR-817 Rev. Ax и DIR-818L Rev. Bx. Патчи для данных устройств будут выпущены в конце августа текущего года.
Ладно, не доказали. Но мы работаем над этим