В программном обеспечении ряда проводных и беспроводных маршрутизаторов D-Link выявлена опасная уязвимость, которая теоретически может использоваться злоумышленниками с целью захвата контроля над устройством.
Проблема, как сообщается в бюллетене eEye Digital Security, связана с ошибкой переполнения стека, возникающей при определённых условиях в службе Universal Plug and Play (UPnP). Для реализации нападения злоумышленнику необходимо отправить на потенциально уязвимый маршрутизатор сформированный специальным образом запрос M-SEARCH с чрезмерно длинным параметром (более 800 байт).
Специалисты компании eEye Digital Security отмечают, что, воспользовавшись дырой, атакующий может полностью захватить контроль над устройством и выполнить на нём произвольный программный код, например, инсталлировать собственную версию микропрограммы ("прошивки"). В результате может быть нарушена работа всей корпоративной сети.
Проблема актуальна для устройств D-Link DI-524, D-Link DI-604 Etherne
...
Читать дальше »