在Atlantis字處理器中發現多個程式碼執行漏洞
Cisco Talos釋出了一份漏洞報告,其中披露了Atlantis字處理器中的多個漏洞,這是一個文書處理器,可以將TXT,RTF,ODT,DOC,WRI或DOCX文件轉換為ePub。
所披露的漏洞由Cisco Talos的Ali Rizvi-Santiago和Cory Duplantis發現,它們都是八個不同的Atlantis字處理器模組中的程式碼執行。
可利用的Atlantis字處理器版本為3.0.2.3,3.0.2.5,3.2.5.0和3.2.6,受影響的模組對於每個版本都是不同的。
正如 ofollow,noindex">Cisco Talos的研究人員所描述 的那樣,所有八個漏洞都可以通過向目標傳送一個特製的文件來利用,該文件會導致程式碼在堆分配範圍之外執行,從而導致緩衝區溢位。
利用Atlantis Word Process應用程式的難點在於說服受害者下載並開啟旨在激發應用程式上下文中的越界程式碼執行的特製文件。
Atlantis字處理器已經過修補,最新版本不再可以利用這些漏洞進行攻擊
即使這可能被證明是一項艱鉅的任務,但是入侵者可以使用足夠的攻擊媒介,例如垃圾郵件,其中包含將文件與漏洞利用程式碼捆綁在一起的附件。
發現的所有漏洞都收到了自己的常見漏洞和暴露識別號碼,以便於跟蹤:CVE-2018-3975,CVE-2018-3978,CVE-2018-398,CVE-2018-3983,CVE-2018-3894,CVE-2018- 3998,CVE-2018-3999和CVE-2018-4000。
此外,9月10日已經向開發人員披露了所有安全漏洞,第二天釋出了快速的後續測試補丁,並在9月26日釋出了最終版本,儘管沒有提及應用程式更改日誌中修復的安全性。
建議所有Atlantis字處理器使用者更新到最新版本的應用程式,以避免他們的系統被惡意製作的工具利用。
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新連結地址: https://www.linuxidc.com/Linux/2018-10/154556.htm