VULHUB ™

InstallAnywhere是领先的多平台安装解决方案，提供完整的安装工具套件，以生成功能全面、灵活的安装程序。 InstallAnywhere在处理软件安装时存在竞争条件漏洞，本地攻击者可能利用此漏洞获取应用的非授权访问。 InstallAnywhere软件包中包含有一个名为InstallScript.iap_xml的XML项目配置文件，用于控制安装过程的行为，包括口令和/或序列号验证。在启动安装程序时，会在临时的磁盘空间中创建一个目录。该目录中包含有多个文件，包括包含有XML项目文件的ZIP文档。安装过程还创建了一个LaunchAnywhere可执行程序，用于启动实际的Java应用安装程序。如果攻击者能够创建这个临时目录的拷贝、从ZIP文档中解压XML项目文件的拷贝，然后从XML项目文件中删除相关的序列号或口令验证部分，并在ZIP文档中用修改过的XML项目文件替换原文件，则在使用LaunchAnywhere可执行程序手动重启安装过程后就可以绕过认证控制，获得非授权访问。 Macrovision InstallAnywhere Enterprise 8.0 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://www.macrovision.com/" target="_blank">http://www.macrovision.com/</a>

InstallAnywhere是领先的多平台安装解决方案，提供完整的安装工具套件，以生成功能全面、灵活的安装程序。 InstallAnywhere在处理软件安装时存在竞争条件漏洞，本地攻击者可能利用此漏洞获取应用的非授权访问。 InstallAnywhere软件包中包含有一个名为InstallScript.iap_xml的XML项目配置文件，用于控制安装过程的行为，包括口令和/或序列号验证。在启动安装程序时，会在临时的磁盘空间中创建一个目录。该目录中包含有多个文件，包括包含有XML项目文件的ZIP文档。安装过程还创建了一个LaunchAnywhere可执行程序，用于启动实际的Java应用安装程序。如果攻击者能够创建这个临时目录的拷贝、从ZIP文档中解压XML项目文件的拷贝，然后从XML项目文件中删除相关的序列号或口令验证部分，并在ZIP文档中用修改过的XML项目文件替换原文件，则在使用LaunchAnywhere可执行程序手动重启安装过程后就可以绕过认证控制，获得非授权访问。 Macrovision InstallAnywhere Enterprise 8.0 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://www.macrovision.com/" target="_blank">http://www.macrovision.com/</a>