Versión Actual Del Plugin Downloadupdater
Downloadupdater es un plugin publicado por AOL. Su (único) propósito es identificar automáticamente disponibles actualizaciones publicadas de AOL y permitir auto-descargas o actualizaciones de todos los seleccionados, a continuación, instalar las actualizaciones descargadas.
AOL, por supuesto, tiene una "Acción recomendada Top", donde el usuario de AOL debe tener instalado el plugin de DownloadUpdater si él o ella a menudo usa AOL y no se quiere comprobar si hay actualizaciones de software de forma ritual manualmente.
Uno de los sitios de origen proporciona el siguiente enlace para obtener Descarga de actualizaciones desde GetSimple Extender; Consigue la última fuente para la actualización desde GitHub, este enlace no está activo en este artículo por razones que se exponen a continuación.
Las siguientes son las características mencionadas de este plugin: Actualización de plugins fuera de la fecha de forma automática con un solo clic; actualizar las instalaciones asociadas a la versión actual de este proceso.
Por extraño que parezca, algunos sitios no garantizaría que el proceso de actualización automática correctamente sería instalar cualquier actualización de plug-in para cada plugin. La razón aducida fue que el actualizador espera que cada plugin y sus actualizaciones a seguir las convenciones y estándares documentados en plugins: creación - Norma para la creación de archivos y carpetas. Algunos sitios declaró que el programa de actualización se negaría a instalar o actualizar los plugins que no cumplan con las normas. Para solucionar este problema, las excepciones a esta "actualización negativa" se puede configurar si el usuario así lo desea. El usuario se dirige a revisar [updater / inc / config.php] por "Google" esta frase y siga las instrucciones indicadas. Como toda experiencia (pero no muerto) usuario siempre indicar, realizar copias de seguridad de todo lo que pudiera verse afectado por esta solución: Sitio de uno y ni plugins ... por si acaso!
Las instrucciones de instalación parece ser clara y simple. Tome el plugin adecuado o archivo de actualización, por lo general un archivo zip, extraer los elementos dentro de la cremallera, a continuación, ejecutar la instalación para todos los artículos o seleccionado. A menudo, el ejecutable de instalación (. Exe) presentará un menú con las direcciones ... siempre un toque agradable. No puede ser más fácil que eso.
Ya por la razón de que no hay enlace directo se proporcionan para downloadupdater2. Un fallo que permite el acceso a través de un pirata informático vulnerabilidad ha sido identificado.
Productos AOL API downloadUpdater2 parámetro SRC ejecución remota de código
probado con: Microsoft Windows Vista SP2
Microsoft Windows Server 2003 R2 SP2
Mozilla Firefox
descargar
véase también el instalador aol_toolbar_pricecheck.exe
vulnerabilidad: el producto mencionado instala un plugin de Firefox:
Archivo: npdnupdater2.dll
Versión: 1.3.0.0
Nombre: npdnupdater2
Ruta: C: \ Archivos de programa \ Mozilla Firefox \ plugins \ npdnupdater2.dll
Tipo MIME: applicatiotn/x-vend.aol.dnupdater2.1
Extensión: ocp
Al integrar este plugin dentro de una página html es posible activar una vulnerabilidad de desbordamiento de búfer a través de la 'SRC' parámetro.
Bajo el título de "AOL downloadUpdater2 Vulnerabilidad de desbordamiento del búfer Plugin de Firefox", una serie de detalles fueron proporcionados, principalmente para clasificar la vulnerabilidad. Su "nivel de criticidad" está ajustado en "altamente crítico". Su punto de impacto es identificado en el "acceso al sistema". La ubicación hacker está identificado como "a distancia", lo que significa que el hacker puede explotar desde lejos. Estado de una solución para esta condición se define como "parchear", es decir, no hay ningún punto hasta el momento. El software de código se identifica como "AOL barra del escritorio" y nombrado como "AOL 1.x downloadUpdater2 (Plugin para Firefox)". Una descripción más bonito es citado de la referencia, el artículo atribuye:
"Descripción: Una vulnerabilidad ha sido descubierta en el plugin de AOL downloadUpdater2 para Firefox, que puede ser explotada por personas maliciosas para comprometer el sistema de un usuario.
La vulnerabilidad es causada debido a un error de límites al manejar atributo "src" en un "embed" elemento (cuando "type" está ajustado a "applicatiotn/x-vend.aol.dnupdater2.1") y puede ser explotado para causar un Desbordamiento de búfer por ejemplo, engañar a un usuario para que visite un sitio web especialmente diseñado.
Una explotación exitosa permite la ejecución de código arbitrario.
La vulnerabilidad está confirmada en la versión 1.3.0.0. Otras versiones también pueden verse afectadas.
Solución: No hay solución oficial está disponible actualmente.
Asesor original.
No hay comentarios:
Publicar un comentario