Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut inviter la victime à ouvrir une archive ZIP
illicite avec KDE Ark, afin d’afficher ou d’effacer un fichier du
système local.

Gravité : 2/4

Date création : 27/07/2011

PRODUITS CONCERNÉS

– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme KDE Utilities Ark est un gestionnaire d’archive, qui
supporte les formats tar, gzip, bzip2, zip, etc.

Une archive ZIP peut contenir des chemins avec "../", afin
d’accéder hors du répertoire d’extraction de l’archive. Cependant,
Ark ne filtre pas ces chemins illicites. Les détails techniques ne
sont pas connus.

Un attaquant peut donc inviter la victime à ouvrir une archive ZIP
illicite avec KDE Ark, afin d’afficher ou d’effacer un fichier du
système local.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/KDE-Ark-effacement-de-fichier-via-ZIP-10872