从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:(0Day) Trimble SketchUp Viewer SKP File Parsing Use-After-Free Remote Code Execution Vulnerability 2. 漏洞编号:ZDI-24-1480, ZDI-CAN-24107 3. CVE ID:CVE-2024-9723 4. CVSS Score:7.8, AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 5. 受影响的厂商:Trimble 6. 受影响的产品:SketchUp Viewer 7. 漏洞详情: - 远程攻击者可以利用此漏洞在受影响的 Trimble SketchUp Viewer 安装上执行任意代码。 - 用户需要与恶意页面或恶意文件进行交互才能利用此漏洞。 - 问题存在于 SKP 文件的解析中,由于在对对象进行操作之前未验证对象的存在,导致了此漏洞。 - 攻击者可以利用此漏洞在当前进程的上下文中执行代码。 8. 额外详情: - 2024-05-01:ZDI 向厂商报告了漏洞。 - 2024-05-01:厂商确认了报告的接收。 - 2024-09-06:ZDI 请求更新。 - 2024-09-23:ZDI 请求更新。 - 2024-10-08:ZDI 通知厂商计划发布零日公告。 9. 缓解措施:由于漏洞的性质,唯一的缓解策略是限制与应用程序的交互。 10. 披露时间线: - 2024-05-01:漏洞报告给厂商。 - 2024-11-12:协调公共发布公告。 - 2024-11-12:公告更新。 11. 信用:Mat Powell of Trend Micro Zero Day Initiative