![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Publicerad
SR10-146 Citrix - Online Plug-Ins och ICA Client sårbara
Sårbarheter i ett flertal Citrix-produkter kan utnyttjas för att exekvera godtycklig kod.
Problembeskrivning
CVE-referens:-
En sårbarhet har upptäckts i Citrix Online Plug-Ins och ICA-klienter. Sårbarheten som grundar sig i en otillräcklig hantering av ICA-uppkopplingar kan utnyttjas för att exekvera godtycklig kod.
En angripare kan utnyttja sårbarheten genom att lura en användare att göra en ICA-uppkoppling mot en server under angriparens kontroll.
ICA-uppkopplingar kan initieras genom att anropa en .ICA-fil eller använda ett speciellt webbläsartillägg.
Ytterligare en sårbarhet har upptäckts i komponenten ICA Client ActiveX Object (ICO) som tillhör Citrix Online Plug-in för Windows. Sårbarheten som även den kan medge exekvering av godtycklig kod är åtgärdad i
version 12.0.3.
Påverkade versioner
- Citrix Online Plug-in för Windows för XenApp & XenDesktop - tidigare än 11.2
- Citrix Online Plug-in för Mac för XenApp & XenDesktop - tidigare än 11.0
- Citrix ICA Client för Linux - tidigare än 11.100
- Citrix ICA Client för Solaris - tidigare än 8.63
- Citrix Receiver för Windows Mobile - tidigare än 11.5