在Oracle文件處理軟件開發工具包的缺陷影響主要的第三方產品.遠程監控,遠程控制軟件.

admin

在Oracle文件處理軟件開發工具包的缺陷影響主要的第三方產品.遠程監控,遠程控制軟件.
在甲骨文的外部技術的十八個缺陷也影響企業軟件產品從其他供應商
十七高風險漏洞的276個漏洞的固定的甲骨文星期二影響第三方軟件供應商的產品，包括微軟。
該漏洞是由思科塔洛斯團隊的研究人員發現，位于外面的Oracle技術（OIT），收集的軟件開發工具包（SDK），可以用來提取、規范、擦洗、轉換和查看一些600非結構化文件格式。
這些軟件開發工具包，這是Oracle融合中間件的一部分，授權給其他人使用他們自己的產品軟件開發。這樣的產品包括微軟Exchange，Novell GroupWise，IBM WebSphere Portal，谷歌搜索應用，Avira AntiVir交換，雷神SureView，指導包住和VERITAS Enterprise Vault。
甲骨文沒有列出受影響的第三方產品。然而，咨詢從幾個相似的漏洞在甲骨文這是修補在一月CERT協調中心有一長串的受影響的產品，許多大型軟件廠商。
目前并不清楚這些產品也由新補丁十七漏洞的影響，因為他們中的一些人可能不使用所有的脆弱的SDK或可能包括其他的限制因素。
Oracle 8.6分在通用漏洞評分系統（CVSS）的缺陷，這意味著一個高級別。然而，在假定的受影響的軟件通過接收通過網絡直接向弱勢OIT代碼數據計算得分，這可能不是在所有情況下發生的。
這是真的，攻擊者可以利用該漏洞執行惡意代碼對系統通過發送特制的內容使用脆弱的OIT SDK的應用。
思科研究人員證實微軟Exchange服務器（2013和更早的版本）如果他們有WebReady文檔查看功能的影響。根據微軟的文檔，這個功能可以讓用戶查看常見的文件類型，DOC，PDF，PPT和。在Outlook Web App的Web瀏覽器直接xls。
“攻擊者可以通過發送惡意的電子郵件附件的受害者打開電子郵件使用網頁預覽利用這些漏洞，”思科該研究人員在博客中說。”此外，如果啟用了數據丟失預防，該漏洞可以通過發送電子郵件與惡意附件從受影響的交換服務器發送一個簡單的觸發。
如果微軟Exchange服務器也有Avira AntiVir Exchange安裝，該漏洞可以通過簡單的發送一個特制的電子郵件沒有受害者甚至開放開發。那是因為這個殺毒程序也使用脆弱的OIT sdk和掃描所有傳入和傳出的電子郵件自動。
文件格式可以是非常復雜的，沒有適當的驗證處理，在歷史上是一個遠程代碼執行漏洞在各種應用程序的源代碼。可以理解的是，許多軟件開發商依靠第三方軟件開發工具包和庫解析文件和數據格式，而不是實現這樣的功能，一個任務將是耗時且容易出錯。
然而，不幸的現實是，漏洞是在一個SDK，第三方應用發現需要額外的時間來修補：第一，保持SDK問題解決的組織，和一定量的時間后，第三方利用SDK客戶包括這些修正提供了一個更新，”思科研究人員說。”這提供了歹徒可以利用第三方產品漏洞的時間相當大的窗口。”
在一個超過百分之80的任何新的軟件應用程序由第三方代碼，跟蹤外部庫的漏洞是非常重要的。不幸的是，研究表明，許多軟件開發人員不僅在這個任務失敗，但甚至沒有一個清晰的圖片，他們使用的第三方組件，他們的應用程序。