发布日期：2010-04-21
更新日期：2010-04-27

受影响系统：

WinInizio.it Software ZipGenius 6.3.1.2552

描述：

---

BUGTRAQ  ID: 39622
CVE ID: CVE-2010-1597

ZipGenius是一个文件压缩管理工具，还具有扫描、收发电子邮件、浏览网站、管理FTP、数据保护、备份等功能。

ZipGenius的InfoTip Shell扩展（zgtips.dll）在处理zip档案中的超长文件名时存在栈溢出漏洞，用户受骗打开了恶意zip文件或仅将鼠标光标悬停在该文件上就可以触发这个溢出，导致执行任意代码。

<*来源：Rick2600
  
  链接：http://secunia.com/advisories/39497/
        http://marc.info/?l=full-disclosure&m=127187541925065&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.exploit-db.com/download/12326

建议：

---

临时解决方法：

* 注销有漏洞的dll：

regsvr32 "C:\Program Files\ZipGenius 6\zgtips.dll" /U

厂商补丁：

WinInizio.it Software
---------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.zipgenius.com/

浏览次数：1997
严重程度：0（网友投票）