CNet CatchUp 远程任意代码可执行漏洞

发布时间：2002-01-31
更新时间：2002-01-31
严重程度：高
威胁程度：普通用户访问权限
错误类型：设计错误
利用方式：服务器模式

BUGTRAQ ID：3975

受影响系统

CNET Catchup 1.3
   - Microsoft Windows 2000 Professional
   - Microsoft Windows 2000 Professional SP1
   - Microsoft Windows 2000 Professional SP2
   - Microsoft Windows 95
   - Microsoft Windows 98
   - Microsoft Windows ME
   - Microsoft Windows NT Workstation 4.0
   - Microsoft Windows NT Workstation 4.0SP1
   - Microsoft Windows NT Workstation 4.0SP2
   - Microsoft Windows NT Workstation 4.0SP3
   - Microsoft Windows NT Workstation 4.0SP4
   - Microsoft Windows NT Workstation 4.0SP5
   - Microsoft Windows NT Workstation 4.0SP6a
   - Microsoft Windows XP Home

详细描述
CNET Catchup 是一款可任意定制的获得各种软件升级信息的工具，运行在
Microsoft Windows 9x/ME/NT/2000/XP 平台上。

其中存在一个漏洞允许远程攻击者在运行CNET Catchup的主机系统上执行任意代码，
另外可以导致攻击者远程启动CNET Catchup工具。

测试代码
尚无

解决方案
临时方法：

在扫描时进入选项菜单点击ABORT按纽。在程序启动设置中不选择"Start scan on execute" 选项。

升级为1.3.1版本：

CNET Catchup 1.3:

CNET Upgrade Catchup 1.3.1
http://catchup.cnet.com/catchup/cu/setup/setup.html?tag=st.cu.cu_fdx.txt.cu_nu

相关信息
相关主页：http://www.newsbytes.com/news/02/173906.html
http://catchup.cnet.com/

最近严重漏洞

CNet CatchUp 远程任意代码可执行漏洞