WinZip Update 代码注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1186018 漏洞类型 代码注入
发布时间 2008-08-01 更新时间 2008-08-01
CVE编号 CVE-2008-3442 CNNVD-ID CNNVD-200808-022
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
https://www.securityfocus.com/bid/83460
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200808-022
|漏洞详情
WinZip是一款功能强大并且易用的压缩实用程序,支持多种压缩文件格式。WinZip11.0之前的版本没有正确地校验更新的真实性,导致恶意代码注入漏洞。通过中间人攻击方式,可以利用此漏洞在升级中利用包含木马的更新,执行任意代码。
|受影响的产品
WinZip WinZip 9.0 WinZip WinZip 8.1 WinZip WinZip 8.0 WinZip WinZip 7.0 WinZip WinZip 9.0 Sr1 WinZip WinZip 8.1 Sr1 WinZip WinZip 10.0
|参考资料

来源:MISC
链接:http://www.infobyte.com.ar/down/Francisco%20Amato%20-%20evilgrade%20-%20ENG.pdf
来源:SECTRACK
名称:1020581
链接:http://securitytracker.com/id?1020581
来源:FULLDISC
名称:20080728Toolrelease:[evilgrade]-UsingDNScachepoisoningtoexploitpoorupdateimplementations
链接:http://archives.neohapsis.com/archives/bugtraq/2008-07/0250.html