Vigil@nce : XnView, exécution de code
juillet 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut inviter la victime à ouvrir un répertoire avec
XnView, afin de faire exécuter un programme illicite.
– Gravité : 2/4
– Date création : 06/07/2011
PRODUITS CONCERNÉS
– XnView
DESCRIPTION DE LA VULNÉRABILITÉ
Le logiciel XnView affiche et convertit les images dans différents
formats.
La fonctionnalité "Open Containing Folder" permet d’ouvrir un
explorateur de fichier, pour afficher le répertoire contenant
l’image courante.
Cependant, le chemin d’accès à l’explorateur n’est pas précisé. Si
un attaquant a déposé un cheval de Troie dans le répertoire
courant (local ou SMB), ce programme illicite sera appelé.
Un attaquant peut donc inviter la victime à ouvrir un répertoire
avec XnView, afin de faire exécuter un programme illicite.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/XnView-execution-de-code-10813