Programová komponenta Symantec LiveUpdate se ve velké části produktů společnosti Symantec stará o automatickou aktualizaci pomocí internetu.
V kódu této komponenty byla nalezena chyba, dovolující pomocí podvrženého ZIP souboru s aktualizací tuto službu vyřadit z provozu – dojde k jejímu pádu.
Dekompresní rutina komponenty LiveUpdate totiž nekontroluje u staženého ZIP archívu velikost původního nekomprimovaného souboru před pokusem o jeho rozbalení a také nesprávně ověřuje jméno komprimovaného adresáře před jeho vytvořením.
Podvržením staženého ZIP souboru lze způsobit problém na koncovém počítači za situace, kdy archiv obsahuje příliš velký soubor. Dále lze na uživatelském systému vytvořit libovolně umístěné adresáře vložením sekvence dvou teček do jména adresářů (..).
Společnost Symantec byla upozorněna 3. listopadu 2004. Momentálně zatím ještě není k dispozici oprava této chyby.
Zdroj: Securitytracker