首页 -> 安全研究

安全研究

安全漏洞
deltathree PC-to-Phone 认证信息泄露漏洞

发布日期:2001-10-25
更新日期:2001-10-30

受影响系统:

deltathree PC-to-Phone 3.0.3
   - Microsoft Windows 95
   - Microsoft Windows 98
   - Microsoft Windows 2000
   - Microsoft Windows 2000 SP1
   - Microsoft Windows 2000 SP2
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 4.0SP1
   - Microsoft Windows NT 4.0SP2
   - Microsoft Windows NT 4.0SP3
   - Microsoft Windows NT 4.0SP4
   - Microsoft Windows NT 4.0SP5
   - Microsoft Windows NT 4.0SP6
   - Microsoft Windows NT 4.0SP6a
描述:

BUGTRAQ ID: 3475

PC-to-Phone 是一款应用程序,可以利用IP电话业务实现从PC到电话,或者是从PC到PC
通话的功能,是由iConnectHere 公司维护,deltathree 公司版权所有的。该软件被发
现存在一个安全问题,可能导致PC-to-Phone 机密认证信息泄露。

如果一个用户处于多用户系统中,并且对“temp.html”文件有读权限时,就可能从该
文件中获得目前登陆进入系统的用户帐号和密码。缺省情况下,该文件是全局可读的。

<*来源:Arthur Hagen (art@broomstick.com
  链接:http://archives.neohapsis.com/archives/bugtraq/2001-10/0239.html
*>

建议:

临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 限制只有“Administrators”组的成员才能对该文件有读权限

厂商补丁:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本:
http://www.iconnecthere.com/nonmembers/eng/pc_to_phone_product.html


浏览次数:3809
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障