Hotfoon Dialer远程缓冲区溢出漏洞

漏洞信息详情

Hotfoon Dialer远程缓冲区溢出漏洞

• CNNVD编号：CNNVD-200212-250
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-2385
  
• 漏洞类型：
  
  
  缓冲区溢出
  
• 发布时间：
  
  2002-11-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2002-12-31
  
• 厂        商：
  
  hotfoon_corporation
• 漏洞来源：
  S G Masood※ sgmaso…

Hotfoon.com是PC到电话，PC到PC电话，即时信息聊天服务的提供商。使用客户端程序hotfoon4.exe来访问服务，其中包括dialer拨号。
hotfoon4.exe对要拨的电话号码字段缺少正确的边界检查，远程攻击者可以利用这个漏洞进行缓冲区溢出攻击。
hotfoon4.exe程序包含电话号码输入字段，但对这个字段的输入没有进行正确的缓冲区边界检查，输入过多号码可以导致发生缓冲区溢出。此溢出可以远程利用，因此拨号程序定义了名为\”Voice\”的URL协议，并在系统中已注册。如URL \”voice：23456\”会启动hotfoon4.exe并拨\”23456\”的电话号码。因此，远程攻击者提交\”Voice：……＜exploit string＞\”可以使程序崩溃，可能导致以hotfoon4.exe进程的权限在系统中执行任意指令。

厂商补丁：
Hotfoon
——-
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.hotfoon.com” target=”_blank”>
http://www.hotfoon.com

来源: BID
名称: 6156
链接:http://www.securityfocus.com/bid/6156

来源: XF
名称: hotfoon-phone-number-bo(10593)
链接:http://www.iss.net/security_center/static/10593.php

来源: BUGTRAQ
名称: 20021110 Multiple Vuln. in Hotfoon.com
链接:http://archives.neohapsis.com/archives/bugtraq/2002-11/0115.html

来源：NSFOCUS
名称：3820
链接：http://www.nsfocus.net/vulndb/3820