中心编号:NIPC-2007-2307
CVE编号:CVE-2007-3970,CVE-2007-3971,CVE-2007-3972
漏洞级别:中
发布日期:2007-07-25
更新日期:2007-07-26
漏洞类型:输入验证错误,设计错误,竞争条件
攻击方式:远程
攻击效果:未授权的修改,拒绝服务
漏洞描述:
NOD32 Anti-Virus是美国ESET公司开发的杀毒软件。
NOD32的文件解析引擎在解析ASPACK压缩文件时可能会触发整数溢出,导致死循环,消耗大量CPU和存储资源;在解析ASPACK和FSG压缩的文件时可能将0用作除数,导致拒绝服务;在解析.CAB文件时竞争条件可能会触发堆溢出,导致在用户系统上执行任意指令。
受影响系统和软件:
Eset NOD32 Antivirus
解决方案:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.nod32.com/
参考资源一:
http://www.securityfocus.com/bid/24988
参考资源二:
http://secunia.com/advisories/26124
参考资源三:
http://www.securityfocus.com/archive/1/archive/1/474244/100/0/threaded
致谢:
该漏洞由Sergio Alvarez发现。