Macromedia Shockwave GETNETTEXT本地文件泄露漏洞

漏洞信息详情

Macromedia Shockwave GETNETTEXT本地文件泄露漏洞

• CNNVD编号：CNNVD-199703-010
• 危害等级： 中危
  
  
• CVE编号：
  CVE-1999-1525
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  1997-03-14
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  macromedia
• 漏洞来源：
  David de Vitry

Macromedia Shockwave是一款多媒体重放应用程序，允许用户从WEB浏览器中查看交互WEB内容。
Macromedia Shockwave不正确处理\”GETNETTEXT\”命令参数，远程攻击者可以利用这个漏洞查看用户邮件内容。
恶意WEB页开发者可以使用Shockwave访问用户的Netscape邮件文件夹，在知道目标用户邮件文件夹路径和名称的情况下，如名字为Inbox、Outbox、Sent和Trash，默认路径为\”C：/Program Files/Netscape/Navigator/Mail/Inbox\”。可使用Shockwave命令\”GETNETTEXT\”调用浏览器查询邮件文件夹中的信息，并可以把这些信息返回给变量发送给服务器，造成信息泄露。

厂商补丁：
Macromedia
———-
Macromedia shockwave version 6不存在此漏洞，建议用户下载使用：

http://www.macromedia.com/” target=”_blank”>
http://www.macromedia.com/

来源: XF
名称: http-ns-shockwave(460)
链接:http://xforce.iss.net/static/460.php

来源: XF
名称: shockwave-file-read-vuln(1586)
链接:http://xforce.iss.net/static/1586.php

来源: XF
名称: shockwave-internal-access(1585)
链接:http://xforce.iss.net/static/1585.php

来源: BUGTRAQ
名称: 19970314 Shockwave Security Alert
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=87602167420670&w=2