Luka w module FTP Total Commandera

W popularnym menadżerze plików - Total Commander obsługującym m.in. transmisję danych z wykorzystaniem protokołu FTP wykryto poważną lukę, która pozwala na zapisywanie danych w dowolnie wybranym folderze na dysku twardym użytkownika Total Commander po nawiązaniu połączenia FTP i pobraniu specjalnie spreparowanego pliku.

Total Commander błędnie interpretuje nazwy plików pobieranych z Sieci z wykorzystaniem protokołu FTP. Jeśli nazwa zawiera znaki backslash (\) i kropki, możliwe staje się zapisanie zbioru w dowolnej, wybranej przez napastnika lokalizacji na dysku twardym użytkownika, nadpisanie plików systemowych albo umieszczenie zbiorów w folderze Autostart.

Usterka dotyczy Total Commandera w wersji 7.01 i wcześniejszych. Problem rozwiązuje zainstalowanie najnowszego wydania aplikacji.

Źródło: heise Security

Total Commander to menedżer plików, autorstwa szwajcarskiego programisty Christiana Ghislera. Program nazwą i wyglądem nawiązuje do klasycznego, pierwszego programu tej klasy, pracującego w środowisku DOS Norton Commandera. Program pierwotnie nosił nazwę Windows Commander, ale została ona zmieniona, gdyż Windows jest nazwą zastrzeżoną przez Microsoft.

Realizacja: SIPLEX Studio