SketchUp 内存破坏和缓冲区溢出漏洞

文章由LinuxBoy分享于2019-04-02 03:04:21热评（180）

SketchUp 内存破坏和缓冲区溢出漏洞

发布日期：2013-06-03
更新日期：2013-06-05

受影响系统：
sketchup sketchup 8.x
sketchup sketchup 7.x
sketchup sketchup 6
描述：
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2013-3664

SketchUp是Trimble Navigation Limited推出的3D模型程序。

SketchUp 8 - Maintenance 5 (8.0.16846)在实现上存在多个安全漏洞，成功利用后可使远程攻击者执行任意代码，前提是诱使用户打开恶意SKP文件。这些漏洞源于特制的SKP文件导致的内存破坏，以及SKP文件内RLE4压缩的位图存在边界错误，导致的堆缓冲区溢出。

<*来源：Juan Pablo "El Lagarto" De Francesco

链接：http://secunia.com/advisories/53635/
http://www.binamuse.com/advisories/BINA-20130521A.txt
http://www.binamuse.com/advisories/BINA-20130521B.txt
http://blog.binamuse.com/2013/05/multiple-vulnerabilities-on-sketchup.html
*>

测试方法：
--------------------------------------------------------------------------------

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
http://www.binamuse.com/exploits/BINA-20130521B-POC-WIN.zip

建议：
--------------------------------------------------------------------------------
厂商补丁：

sketchup
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.sketchup.com/products/sketchup-pro/new-in-2013

推荐文章：

SketchUp 内存破坏和缓冲区溢出漏洞