xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

Incredimail 允许远程文件可写漏洞


发布时间:2001-05-15
更新时间:2001-05-15
严重程度:
威胁程度:远程拒绝服务
错误类型:输入验证错误
利用方式:服务器模式

受影响系统
Incredimail (http://www.incredimail.com )
--Windows NT4
  Windows 2000
  Windows 9x/me
详细描述
用户可以定义SKIN,notifyer,animation等文件名,这可以通过在content.ini
文件中设置,通过对文件名追加'../'字符,恶意用户可以在同一个分区覆盖
任意文件。此文件会被下载和拷贝到用户机器,造成某些情况下的拒绝服务。

测试代码
http://irc.m0ss.com/eos/advisories/incredimailexploit
此实验程序可以在你装有incredimail的分区中建立Obscure.dat文件。

解决方案
尚无

相关信息
mail:obscure@cybergoth.i-p.com
http://irc.m0ss.com/eos
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved