Vulnerability Bulletins |
Vulnerabilidad en la Utilidad de Symantec "LiveUpdate" versión 1.x |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Aumento de privilegios |
Dificulty | Experto |
Required attacker level | Acceso remoto con cuenta |
System information |
|
Property | Value |
Affected manufacturer | Microsoft |
Affected software |
Symantec Windows LiveUpdate versiones de la 1.70.x a la 1.90.x Symantec Norton SystemWorks 2001-2004 Symantec Norton AntiVirus and Norton AntiVirus Pro 2001-2004 Symantec Norton Internet Security and Norton Internet Security Pro 2001-2004 Symantec AntiVirus for Handhelds v3.0 |
Description |
|
Se ha descubierto una vulnerabilidad en la utilidad de Symantec "LiveUpdate". La explotación de esta vulnerabilida permitiría, bajo ciertas circunstancias, que un usuario con cuenta en el sistema incremente sus privilegios y porteriormente pueda realizar acciones dañinas sobre el mismo. Contexto Técnico "LiveUpdate" es una utilidad de Symantec diseñada para actualizar automáticamente sus productos, como son Norton Anti-virus y Norton Utilities. "LiveUpdate" puede se configurada para notificar a usuario cuando hay actualizaciones disponibles. Esta notificación se visualiza al aparecer el ícono "LiveUpdate"en la barra de tareas. Y a continucion el usuario puede abrir un sesión interactiva para recibir las actualizaciones disponibles Información Técnica Esta vulnerabilidad se debe a un defecto en el manejo de las sesiones interactivas del usuario, y permite que un usuario local, a través del GUI de "LiveUpdate", tenga acceso a cualquier archivo en el sistema. |
|
Solution |
|
Actualizar software Symantec Windows LiveUpdate v2.0 http://www.symantec.com/techsupp/files/lu/lu.htm |
|
Standar resources |
|
Property | Value |
CVE | CAN-2003-0994 |
BID | |
Other resources |
|
Symantec security advisory SYM04-001 http://securityresponse.symantec.com/avcenter/security/Content/2004.01.12.html |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2004-01-14 |