受影响系统:
LogMeIn, Inc. LogMeIn Pro 4.0.784
描述:
BUGTRAQ ID: 35236
LogMeIn是流行的远程访问软件,允许通过网络控制计算机。
LogMeIn的cfgadvanced.html页面存在HTTP头注入漏洞。如果用户受骗跟随了恶意链接并收到了lang参数,LogMeIn会将lang参数值储存在[HKEY_LOCAL_MACHINE\SOFTWARE\LogMeIn\V5\Appearance\Language]注册表中,并在每次点击链接的时候在Content-Language头中使用,因此特制参数可能导致注入并执行任意代码。
<*来源:Inferno
链接:http://securethoughts.com/2009/06/multiple-vulnerabilities-in-logmein-web-interface-can-be-used-to-control-your-computer-and-steal-arbitary-files/
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
建议:
厂商补丁:
LogMeIn, Inc.
————-
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
0 条评论。