标题: teTeX多个漏洞 [打印本页]

---

作者: pioneer     时间: 2007-11-19 12:46    标题: teTeX多个漏洞

来源

secunia.com

软件名

teTeX 3.x

描述

这可被恶意的当前用户泄漏和操控敏感信息并且潜在的危害用户系统

1)dvips在用户被骗打开包含超长HREF的特定DVI文件时的越界访问错误可导致堆栈缓冲溢出
溢出成功需要dvips用"-z"选项激活

2)dviljk中的一些越界访问错误在用户被骗输出特定DVI文件时缓冲溢出
成功执行#1和#2号漏洞后可执行任意代码

3)dvips在转换DVI文件时不安全的使用"tmpnam()"函数可导致泄漏和修改敏感信息

解决方案

不要从不可信源中处理DVI文件。厂商只允许可信用户访问受影响的系统

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn