漏洞概要
关注数(24)
关注此漏洞
漏洞标题:很多编译器使用有漏洞的CVTRES.EXE(建议更新)
漏洞作者: 光刃
提交时间:2013-12-25 10:04
修复时间:2014-03-25 10:05
公开时间:2014-03-25 10:05
漏洞类型:设计错误/逻辑缺陷
危害等级:低
自评Rank:5
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2013-12-25: 细节已通知厂商并且等待厂商处理中
2013-12-30: 厂商已经确认,细节仅向厂商公开
2014-01-02: 细节向第三方安全合作伙伴开放
2014-02-23: 细节向核心白帽子及相关领域专家公开
2014-03-05: 细节向普通白帽子公开
2014-03-15: 细节向实习白帽子公开
2014-03-25: 细节向公众公开
简要描述:
声明:此贴无什么技术含量。
CVTRES.EXE是微软的将资源文件转换成OBJ文件的程序,广大存在于各种第三方编译器中。早期的版本会造成程序崩溃(KB230332)。
微软公开的,技术性信息我就不写了http://support.microsoft.com/kb/230332.如今微软早已更新此程序,而很多第三方编译器
(如易语言 5.11,RADASM 2.2.1.9,MASMPLus 1.2 等等等等)仍然使用有此漏洞的老版本程序。
(我机器除了微软以外,只有这3个编译器了,中招率100%)
详细说明:
漏洞证明:
我自己构造的poc文件,把这些数据以16进制的形式保存*.RES,用相应资源编辑器打开就可以
修复方案:
版权声明:转载请注明来源 光刃@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2013-12-30 08:04
厂商回复:
最新状态:
暂无
漏洞评价:
评论
