W popularnym menadżerze plików – Total Commander obsługującym m.in. transmisję danych z wykorzystaniem protokołu FTP wykryto poważną lukę, która pozwala na zapisywanie danych w dowolnie wybranym folderze na dysku twardym użytkownika Total Commander po nawiązaniu połączenia FTP i pobraniu specjalnie spreparowanego pliku.
Total Commander błędnie interpretuje nazwy plików pobieranych z Sieci z wykorzystaniem protokołu FTP. Jeśli nazwa zawiera znaki backslash (\) i kropki, możliwe staje się zapisanie zbioru w dowolnej, wybranej przez napastnika lokalizacji na dysku twardym użytkownika, nadpisanie plików systemowych albo umieszczenie zbiorów w folderze Autostart.
Usterka dotyczy Total Commandera w wersji 7.01 i wcześniejszych. Problem rozwiązuje zainstalowanie najnowszego wydania aplikacji.
Źródło: heise Security
Total Commander to menedżer plików, autorstwa szwajcarskiego programisty Christiana Ghislera. Program nazwą i wyglądem nawiązuje do klasycznego, pierwszego programu tej klasy, pracującego w środowisku DOS Norton Commandera. Program pierwotnie nosił nazwę Windows Commander, ale została ona zmieniona, gdyż Windows jest nazwą zastrzeżoną przez Microsoft.