Но в сочетании с путями, содержащими пробелы, обработка lpszCommandLine получилась слишком комфортной - при указании пути вида 'c:\program files\some dir\some prog.exe' система последовательно будет пробовать запустить 'c:\program.exe', 'c:\program files\some.exe', 'c:\program files\some dir\some.exe', 'c:\program files\some dir\some prog.exe'. Это вполне документированная ситуация, для ее избежания рекомендуется заключать строку с путем до исполняемого файла в кавычки.

Разумеется, программисты периодически забывают об этом подвохе, что в принципе может привести к атаке на локальную систему, если злоумышленнику, к примеру, удастся записать пользователю в корневой каталог свою программу под именем program.exe. Опасность не слишком велика (если уж есть подобные права на запись, то можно использовать и более очевидные методы), но подобные плюхи не красят разработчиков. В список таких программ, опубликованный iDefence, попали Microsoft Antispyware 1.0.509 (Beta 1), RealNetworks RealPlayer 10.5, Kaspersky Anti-Virus 5.0, Apple iTunes 4.7.1.30, VMWare Workstation 5.0.0 build-13124.

Источник: iDefence

Tweet

теги: microsoft, apple, vmware, beta  |  предложить новость  |  обсудить  |  все отзывы (3)

[13887]

назад «  » вперед

аналогичные материалы Непривязанный джейлбрейк для iPhone 4S/iPad 2 с iOS 5.01 // 20.01.12 21:50 Непривязанный джейлбрейк для iOS 5.01 // 28.12.11 01:15 Вскрытие iPad магнитом, а iPhone - голосом // 21.10.11 11:29 iCloud стал катастрофой для пользователей Outlook // 15.10.11 13:45 5 bootrom-уязвимостей в iPad 2 // 17.09.11 16:56 Серьезная ошибка в LDAP-аутентификации в Mac OS X Lion // 26.08.11 23:35 Последние обновления Windows поломали VMware View Client // 11.02.11 02:21

последние новостиBugTraq.Ru: последние новости Уязвимость камер TRENDnet открыла свободный доступ к домашнему видео // 08.02.12 00:36 Взломщики опубликовали код pcAnywhere // 07.02.12 21:37 Интеграционное // 07.02.12 17:27 Adobe добавит песочницу в Flash для Firefox // 07.02.12 14:44 Google все-таки стал проверять приложения из Маркета // 03.02.12 19:50 Symantec обнаружила полиморфного андроидного трояна из России // 03.02.12 19:36 8 марта у жертв DNSChanger закончится интернет // 03.02.12 12:01

Комментарии: о пробелах 18.11.05 16:18   Автор: jammer <alex naumov> Статус: Senior Member <"чистая" ссылка> все-таки пробелы - мастдай. а навязывать пробелы в виде "Program Files" и "Documents and Settings" - создает генетические проблемы, типа вышеописанной. а фар сразу в кавычках в клипбоард и командную строку такие вещи вставляет. на всякий пожарный. классная дырка :) 17.11.05 19:17   Автор: noonv <Volodia> Статус: Member <"чистая" ссылка> правда тут - всё в руках программиста. самое забавное - то что в списке уязвимых программ есть Kaspersky Anti-Virus и Microsoft Antispyware %)) глючно-дырявый пятый, заметим честно. на 4.5 это не... 18.11.05 16:16   Автор: jammer <alex naumov> Статус: Senior Member <"чистая" ссылка> > самое забавное - то что в списке уязвимых программ есть Kaspersky Anti-Virus глючно-дырявый пятый, заметим честно. на 4.5 это не распространяется. > и Microsoft Antispyware %)) мелкософт всегда если не обосрется, так в готовое наступит.

<добавить комментарий>