【速報】kkcaldにバッファオーバーフローの脆弱性 (体験ページ有り)

このエントリーをはてなブックマークに追加
1番組の途中ですがアフィサイトへの転載は禁止です

kkcaldにはXSS、CSRF、バッファオーバーフローの脆弱性があります。
バッファオーバーフローはUTF-16を扱っている箇所にあるため、スタックを上書きする文字列に0x00を含めることができて、
Windowsのバージョンなどに関わらず容易に安定した攻撃が可能です。

対策方法
kkcaldにBASIC認証を設定し、普段使うブラウザとkkcaldを操作するブラウザを分ける。
クロスサイトでの攻撃が可能なので、外部からkkcaldへのアクセスを防ぐだけでは不十分です。

http://d.hatena.ne.jp/kusano_k/20121221/1356054591

体験ページ(ボタンをクリックすると電卓が起動する)
http://pastehtml.com/view/convq9v3e.html

※体験ページの仕組みを悪用すると、勝手に不正なプログラムをダウンロードして、PC内でプログラムを実行する事も可能
2番組の途中ですがアフィサイトへの転載は禁止です:2013/01/11(金) 08:44:44.61 ID:Hmr0NNSw0
日本語で話せアスペ
3番組の途中ですがアフィサイトへの転載は禁止です:2013/01/11(金) 08:46:20.98 ID:SuExM1Jr0
これ結構使ってる奴居るだろ
4番組の途中ですがアフィサイトへの転載は禁止です
安定した攻撃っていい表現だなワロタ