发布日期：2013-06-03
更新日期：2013-06-04

受影响系统：

sketchup sketchup 8.x
sketchup sketchup 7.x
sketchup sketchup 6

描述：

---

CVE(CAN) ID: CVE-2013-3664

SketchUp是Trimble Navigation Limited推出的3D模型程序。

SketchUp 8 - Maintenance 5 (8.0.16846)在实现上存在多个安全漏洞，成功利用后可使远程攻击者执行任意代码，前提是诱使用户打开恶意SKP文件。这些漏洞源于特制的SKP文件导致的内存破坏，以及SKP文件内RLE4压缩的位图存在边界错误，导致的堆缓冲区溢出。

<*来源：Juan Pablo "El Lagarto" De Francesco
  
  链接：http://secunia.com/advisories/53635/
        http://www.binamuse.com/advisories/BINA-20130521A.txt
        http://www.binamuse.com/advisories/BINA-20130521B.txt
        http://blog.binamuse.com/2013/05/multiple-vulnerabilities-on-sketchup.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.binamuse.com/exploits/BINA-20130521B-POC-WIN.zip

建议：

---

厂商补丁：

sketchup
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.sketchup.com/products/sketchup-pro/new-in-2013

浏览次数：3947
严重程度：0（网友投票）