Pavel Cheremushkin saka Kaspersky Lab macem-macem implementasine saka VNC (Virtual Network Computing) sistem akses remot lan dikenali 37 vulnerabilities disebabake masalah nalika nggarap memori. Kerentanan sing diidentifikasi ing implementasi server VNC mung bisa dimanfaatake dening pangguna sing wis dikonfirmasi, lan serangan ing kerentanan ing kode klien bisa ditindakake nalika pangguna nyambung menyang server sing dikontrol dening panyerang.
Jumlah paling gedhe saka kerentanan ditemokakΓ© ing paket , kasedhiya mung kanggo platform Windows. Gunggunge 22 kerentanan wis diidentifikasi ing UltraVNC. 13 kerentanan bisa nyebabake eksekusi kode ing sistem, 5 kanggo bocor memori, lan 4 kanggo nolak layanan.
Kerentanan tetep ing release .
Ing perpustakaan mbukak (LibVNCServer lan LibVNCClient), kang ing VirtualBox, 10 kerentanan wis diidentifikasi.
5 kerentanan (, , , , ) disebabake overflow buffer lan bisa nyebabake eksekusi kode. 3 kerentanan bisa nyebabake kebocoran informasi, 2 kanggo nolak layanan.
Kabeh masalah wis diatasi dening pangembang, nanging owah-owahan isih ana mung ing cabang master.
Π (cabang warisan lintas-platform sing diuji , amarga versi saiki 2.x dirilis mung kanggo Windows), 4 kerentanan ditemokake. Telung masalah (, , ) sing disebabake buffer overflows ing InitialiseRFBConnection, rfbServerCutText, lan fungsi HandleCoRREBBP, lan duweni potensi mimpin kanggo eksekusi kode. Masalah siji () ndadΓ©kakΓ© kanggo nolak layanan. Sanajan pangembang TightVNC babagan masalah taun kepungkur, kerentanan tetep ora dikoreksi.
Ing paket cross-platform (garpu saka TightVNC 1.3 sing nggunakake perpustakaan libjpeg-turbo), mung siji kerentanan sing ditemokake (), nanging mbebayani lan, yen sampeyan duwe akses asli kanggo server, iku ndadekake iku bisa kanggo ngatur eksekusi kode Panjenengan, wiwit yen buffer overflows, iku bisa kanggo ngontrol alamat bali. Masalah wis dirampungake lan ora katon ing release saiki .
Source: opennet.ru