jetAudio - переполнение буфера при обработке файлов M3U

Сектор:

Пользовательское ПО

Производитель:

COWON America

Продукт:

jetAudio

Операционная система:

Windows

Версии:

до 7.0.3 вкл

Тип:

Переполнение буфера

Переполнение буфера – Общее определение: Ошибка, связанная с отсутствием проверки размера данных перед копированием их в участок памяти (буфер) ограниченной длины. В результате данные в буфере назначения выходят за пределы отведенного им участка памяти («переполняют» его) и накладываются на другие структуры данных программы. Злоумышленник может воспользоваться этим для выполнения произвольного кода либо для проведения атаки типа отказ в обслуживании.

Наличие эксплойта:

эксплойт

Наличие патча:

нет

Локальная/удаленная:

удаленная

Уровень:

высокий

ОПИСАНИЕ

Медиа-плеер jetAudio от COWON America содержит уязвимость к выполнению произвольного машинного кода при обработке специально сформированных файлов плей-листов M3U.

Уязвимость вызвана отсутствием проверки граничного размера поля URL в качестве имени файла перед копированием его в стековый буфер фиксированной длины. Поле длиной больше 1024 байта вызывает переполнение буфера.

Неудачная эксплуатация уязвимости приводит к аварийному завершению работы приложения.

ЗАЩИТА

источник: Secunia.com перевод: cnews.ru