Microsoft 漏洞研究咨询 MSVR11-006

Google SketchUp 中的漏洞可能导致远程代码执行

发布时间: 2011 年 6 月 21 日

版本: 1.0

概述

执行摘要

Microsoft 正在提供有关发现和修正影响 Google SketchUp 版本 7.1 维护版本 2 及更早版本的漏洞的通知。 Microsoft 发现并披露了与受影响的供应商 Google Inc. 的协调漏洞披露下的漏洞,并修正了其软件中的漏洞。

SketchUp 分析特制的 SketchUp()的方式存在漏洞。SKP) 文件。 攻击者可能会利用此漏洞,并导致 SketchUp 意外退出并执行任意代码。 成功利用此漏洞的攻击者可能会获得与登录用户相同的用户权限。 如果用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以完全控制受影响的系统。 然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。

Microsoft 漏洞研究向 Google 报告了此问题并与之协调,以确保修正此问题。 漏洞已分配到常见漏洞和公开列表中的条目 CVE-2011-2478。 有关详细信息,包括有关 Google SketchUp 更新的信息,请参阅 Google SketchUp 发行说明

缓解因素

  • 在基于 Web 的攻击方案中,攻击者可以托管包含用于利用此漏洞的文档的网站。 但是,在所有情况下,攻击者都无法强制用户访问该网站。 相反,攻击者必须说服用户访问该网站,通常是通过让他们单击电子邮件或即时信使消息中的链接,将用户带到攻击者的网站。
  • 无法通过电子邮件自动利用漏洞。 要使攻击成功,用户必须打开电子邮件中发送的附件。
  • 成功利用此漏洞的攻击者可能会获得与本地用户相同的用户权限。 与使用管理用户权限操作的用户相比,其帐户在系统上具有更少用户权限的用户更不易受到影响。
  • Google SketchUp 具有默认启用的自动更新功能。 未禁用此功能的用户会自动更新为不再容易受到此问题攻击的版本。

咨询详细信息

用途和建议

咨询目的: 通知用户漏洞及其修正。

公告状态: 已发布公告。

建议: 查看 “建议的操作 ”部分,并根据需要进行配置。

问题参考

有关此问题的详细信息,请参阅以下参考:

参考 标识
常见漏洞和暴露 CVE-2011-2478

受影响的和非受影响的软件

此公告讨论以下软件。

受影响的软件
Google SketchUp 7.1 维护版本 2 及更早版本
受影响的软件
Google SketchUp 8
Google SketchUp 8 维护版本 1

常见问题

此公告的范围是什么?
此公告是与受影响的供应商协调发布的一部分,告知客户可能影响其系统的安全问题。

这是否是要求 Microsoft 发出安全更新的安全漏洞?
否。 已通过受影响第三方供应商的更新修复了此漏洞。 此更新修正了表 “受影响的软件”中列出的软件

漏洞的范围是什么?
这是远程代码执行漏洞。 成功利用此漏洞的攻击者可能会获得与登录用户相同的用户权限。 与使用管理用户权限操作的用户相比,其帐户在系统上具有更少用户权限的用户更不易受到影响。

导致漏洞的原因是什么?
此漏洞存在于 SketchUp 处理特定类型的无效边缘几何图形的方式中。SKP 文件。

攻击者可能使用此漏洞执行哪些操作?
成功利用此漏洞的攻击者可能会获得与登录用户相同的用户权限。 如果用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以完全控制受影响的系统。 然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。

攻击者如何利用漏洞?
利用此漏洞需要用户打开专门制作的漏洞。具有受影响版本的 Google SketchUp 的 SKP 文件。

在基于 Web 的攻击方案中,网站可能包含一个专门制作的文档,用于利用此漏洞。 攻击者无法强制用户访问该网站。 相反,攻击者必须说服用户访问网站并打开特制的文档,通常是让他们单击电子邮件或即时信使消息中的链接,将他们带到攻击者的网站,然后说服他们打开特制的文档。

在电子邮件攻击方案中,攻击者可以通过向用户发送专门制作的文档并说服用户打开文档来利用漏洞。

建议的操作

将供应商提供的更新或升级应用到不受此漏洞影响的版本。 有关详细信息,包括有关 Google SketchUp 更新的信息,请参阅 Google SketchUp 发行说明

允许安装 SketchUp 自行更新。 确保默认情况下启用的自动更新功能尚未禁用。

致谢

Microsoft 感谢 以下内容:

  • MicrosoftDavid Weston 发现此问题和 Google 团队致力于解决问题。

免责声明

此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修订

  • V1.0(2011 年 6 月 21 日):已发布公告。

生成于 2014-04-18T13:49:36Z-07:00