Уязвимость удаленного выполнения кода Use-After-Free при синтаксическом анализе SKP-файла Trimble SketchUp Viewer. Эта уязвимость позволяет…
Уязвимость удаленного выполнения кода Use-After-Free при синтаксическом анализе SKP-файла Trimble SketchUp Viewer. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках Trimble SketchUp Viewer. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, поскольку цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток существует в синтаксическом анализе SKP-файлов. Проблема возникает из-за отсутствия проверки существования объекта перед выполнением операций над ним. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Была ZDI-CAN-24112.
Продукт повторно использует или ссылается на память после её освобождения. В какой-то момент эта память может быть выделена повторно и сохранена в другом указателе, тогда как исходный указатель на освобождённую память используется вновь. Поскольку теперь по этому адресу может храниться посторонний объект, исходное использование указателя может привести к повреждению памяти или иным непреднамеренным последствиям. Если новая структура данных содержит указатель на функцию, то при исполнении может быть вызван код, контролируемый злоумышленником.
https://cwe.mitre.org/data/definitions/416.html →Открыть в коллекции CWE →