Boletines de Vulnerabilidades |
Vulnerabilidad en la Utilidad de Symantec "LiveUpdate" versión 1.x |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de privilegios |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Microsoft |
Software afectado |
Symantec Windows LiveUpdate versiones de la 1.70.x a la 1.90.x Symantec Norton SystemWorks 2001-2004 Symantec Norton AntiVirus and Norton AntiVirus Pro 2001-2004 Symantec Norton Internet Security and Norton Internet Security Pro 2001-2004 Symantec AntiVirus for Handhelds v3.0 |
Descripción |
|
Se ha descubierto una vulnerabilidad en la utilidad de Symantec "LiveUpdate". La explotación de esta vulnerabilida permitiría, bajo ciertas circunstancias, que un usuario con cuenta en el sistema incremente sus privilegios y porteriormente pueda realizar acciones dañinas sobre el mismo. Contexto Técnico "LiveUpdate" es una utilidad de Symantec diseñada para actualizar automáticamente sus productos, como son Norton Anti-virus y Norton Utilities. "LiveUpdate" puede se configurada para notificar a usuario cuando hay actualizaciones disponibles. Esta notificación se visualiza al aparecer el ícono "LiveUpdate"en la barra de tareas. Y a continucion el usuario puede abrir un sesión interactiva para recibir las actualizaciones disponibles Información Técnica Esta vulnerabilidad se debe a un defecto en el manejo de las sesiones interactivas del usuario, y permite que un usuario local, a través del GUI de "LiveUpdate", tenga acceso a cualquier archivo en el sistema. |
|
Solución |
|
Actualizar software Symantec Windows LiveUpdate v2.0 http://www.symantec.com/techsupp/files/lu/lu.htm |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2003-0994 |
BID | |
Recursos adicionales |
|
Symantec security advisory SYM04-001 http://securityresponse.symantec.com/avcenter/security/Content/2004.01.12.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2004-01-14 |