ZipTV: Sicherheitslücken bei ARJ-Archiven

Möglich wird die Manipulation auf zwei Arten: Durch einen Begrenzungsfehler bei der Anzeige des Inhaltes von ARJ-Archiven lässt sich durch Manipulation des ARJ-Header unter Umständen eine Heap-Überlauf-Attacke durchführen. Ein weiterer Begrenzungsfehler wird in der Bibliothek UNACECV2.DLL gemeldet: überlange Dateinamen können hier benutzt werden, um einen Stack-Überlauf gegen das System auszuführen. In beiden Fällen kann ein Angreifer eigenen Programmkode ins System einschleusen. Die Sicherheitslücken betreffen alle aktuellen Versionen von ZipTV, ein Sicherheitspatch steht bislang nicht zur Verfügung. (twi)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.