Pavel Cheremushkin ti Kaspersky Lab rupa-rupa palaksanaan sistem aksés jauh VNC (Komputasi Jaringan Virtual) sareng ngaidentipikasi 37 kerentanan anu disababkeun ku masalah nalika damel sareng mémori. Kerentanan anu diidentipikasi dina palaksanaan server VNC ngan ukur tiasa dieksploitasi ku pangguna anu dioténtikasi, sareng serangan kana kerentanan dina kode klien mungkin nalika pangguna nyambung ka server anu dikontrol ku panyerang.
Jumlah pangbadagna vulnerabilities kapanggih dina iket , ngan sadia pikeun platform Windows. Jumlahna aya 22 kerentanan parantos diidentifikasi dina UltraVNC. 13 kerentanan berpotensi ngakibatkeun palaksanaan kode dina sistem, 5 kana bocor mémori, sareng 4 pikeun panolakan jasa.
Vulnerabilities dibereskeun dina release .
Dina perpustakaan muka (LibVNCServer jeung LibVNCClient), nu dina VirtualBox, 10 kerentanan parantos diidentifikasi.
5 kerentanan (, , , , ) anu disababkeun ku panyangga mudal tur berpotensi ngakibatkeun palaksanaan kode. 3 kerentanan tiasa nyababkeun kabocoran inpormasi, 2 pikeun panolakan jasa.
Sadaya masalah parantos dilereskeun ku pamekar, tapi parobihan tetep ngan dina cabang master.
В (cabang warisan cross-platform anu diuji , saprak versi ayeuna 2.x dileupaskeun ngan pikeun Windows), 4 kerentanan kapanggih. tilu masalah (, , ) anu disababkeun ku overflows panyangga dina InitialiseRFBConnection, rfbServerCutText, sarta fungsi HandleCoRREBBP, sarta berpotensi ngakibatkeun palaksanaan kode. Hiji masalah () ngabalukarkeun panolakan jasa. Sanajan pamekar TightVNC éta ngeunaan masalah taun ka tukang, kerentanan tetep teu dilereskeun.
Dina pakét cross-platform (garpu TightVNC 1.3 anu ngagunakeun perpustakaan libjpeg-turbo), ngan hiji kerentanan anu kapanggih (), tapi bahaya na, lamun boga aksés dioténtikasi ka server, ngamungkinkeun pikeun ngatur palaksanaan kode Anjeun, saprak lamun panyangga overflows, kasebut nyaéta dimungkinkeun pikeun ngadalikeun alamat balik. Masalahna direngsekeun tur teu muncul dina release ayeuna .
sumber: opennet.ru