发布日期：2001-10-25
更新日期：2001-10-30

受影响系统：

deltathree PC-to-Phone 3.0.3
   - Microsoft Windows 95
   - Microsoft Windows 98
   - Microsoft Windows 2000
   - Microsoft Windows 2000 SP1
   - Microsoft Windows 2000 SP2
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 4.0SP1
   - Microsoft Windows NT 4.0SP2
   - Microsoft Windows NT 4.0SP3
   - Microsoft Windows NT 4.0SP4
   - Microsoft Windows NT 4.0SP5
   - Microsoft Windows NT 4.0SP6
   - Microsoft Windows NT 4.0SP6a

描述：

---

BUGTRAQ ID: 3475

PC-to-Phone 是一款应用程序，可以利用IP电话业务实现从PC到电话，或者是从PC到PC
通话的功能，是由iConnectHere 公司维护，deltathree 公司版权所有的。该软件被发
现存在一个安全问题，可能导致PC-to-Phone 机密认证信息泄露。

如果一个用户处于多用户系统中，并且对“temp.html”文件有读权限时，就可能从该
文件中获得目前登陆进入系统的用户帐号和密码。缺省情况下，该文件是全局可读的。

<*来源：Arthur Hagen （art@broomstick.com）
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-10/0239.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 限制只有“Administrators”组的成员才能对该文件有读权限

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.iconnecthere.com/nonmembers/eng/pc_to_phone_product.html


浏览次数：3639
严重程度：0（网友投票）