Coordinación de Seguridad de la Información

Coordinación de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2007-025 eScan, Permisos de Archivos Inseguros

eScan ofrece una serie de caracteristicas para ayudar a combatir las amenazas de virus, bloquear spam y correos ofensicos, bloquear popup, etc.

  • Fecha de Liberación: 30-Ago-2007
  • Ultima Revisión: 3-Sep-2007
  • Fuente: Edi Strosar (Team Intell)
  • Riesgo Moderado
  • Problema de Vulnerabilidad Local
  • Tipo de Vulnerabilidad Elevación de privilegios

Sistemas Afectados

Microsoft Windows 98/ME/2000/XP/2003/Vista eScan Anti-Virus == 9.0.722.1
Microsoft Windows 98/ME/2000/XP/2003/Vista eScan Internet Security == 9.0.722.1
Microsoft Windows 98/ME/2000/XP/2003/Vista eScan Virus Control == 9.0.722.1
  1. Descripción

    La línea de productos eScan es propensa a fallas de seguridad, las cuales pueden ser explotadas por el usuario LUA para escalar privilegios.

    El problema es causado debido a las configuraciones de permisos por defecto (permitir a cualquiera acceso total) en el directorio de instalación de eScan y todos sus objetos hijo. Esto puede ser explotado para eliminar, manipular y reemplazar cualquiera de los archivos de la aplicación.

  2. Impacto

    Una explotación exitosa permitiria ejecución de código arbitrario con privilegios de sistema.

  3. Solución

    Configurar los permisos adecuados al directorio de instalación de eScan.

    NOTA: Esto puede afectar la funcionalidad.

  4. Referencias

    http://seclists.org/fulldisclosure/2007/Aug/0493.html

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Alejandro Nuñez Sandoval (anunez at seguridad dot unam dot mx)
  • Vicente Hernández Jiménez (bec_vhernandez at correo dot seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México AENOR LOGO FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT