Xmind 2012 corrige une vulnérabilité sans prévenir les utilisateurs

janvier 7th, 2013 | Posted by Cervoise in English | Français

En mai 2011, j’ai découvert une vulnérabilité de type DLL hijacking dans Xmind 3.2.1.La DLL vulnérable était \plugin\org.eclipse.equinox.launcher.win32.win3 2.x86_1.0.200.v20090519\eclipse_1206.dll (le nom de dossier peut changer en fonction des versions). J’ai alors notifié la faille à l’éditeur (en mai 2011). Cette faille a été corrigée dans Xmind 3.3.0 (aussi appelé Xmind 2012), cette nouvelle version a été publiée en août 2012. L’éditeur ne m’a pas informé de la correction et aucune information à ce sujet n’apparaît dans le fichier changelog comme vous pouvez le constater ici.

Mon bulletin a propos de cette mise à jour :

Logiciel

Nom Xmind
URL http://www.xmind.net
Description XMind est un logiciel de mind mapping, une méthode de brainstorming.

Vulnérabilité

Impact Exploitation de code arbitraire à distance
Versions impactées 3.2.1, les versions plus anciennes sont surement impactées
Description Une vulnérabilité de type DLL hijacking sur \plugin\org.eclipse.equinox.launcher.win32.win3 2.x86_1.0.200.v20090519\eclipse_1206.dll a été corrigée. Le nom de fichier peut changer en fonction de la version de Xmind.
Exploit Un code d’exploitation privé existe.
CVSS v2 base score 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C)
Solution Migrer en version 3.3.0
CVE aucun

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload the CAPTCHA.