Ekoparty es el evento anual de seguridad informática que, por sus características únicas y su particular estilo, se ha convertido en un referente para toda Latinoamérica.

Permite a consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds, curiosos y entusiastas de la tecnología, reunirse y disfrutar de los descubrimientos más importantes en el ámbito de la seguridad informática.

27, 28 y 29 de septiembre, Centro Cultural Konex, Buenos Aires, Argentina.

18 nov. 2016

Actualización crítica en Avira Antivirus

Se ha publicado una vulnerabilidad crítica de ejecución de comando en el producto Avira Antivirus >= 15.0.21.86 que permite ejecutar comandos del sistema operativo. La explotación fue probada con éxito en Windows 7 pero seguramente puede ser explotada en versiones superiores.

Cuando se realiza una actualización manual de Avira y se importa un archivo ZIP, la aplicación no verifica "../" en el nombre del archivo, lo cual permite realizar un "path traversal" y escribir un programa en cualquier ubicación del sistema operativo base.

Se ha publicado una PoC en Python y en el video publicado se vé claramente cómo esto podría ser utilizado.
Avira ya ha lanzado la actualización y se recomienda actualizar a esta última versión.

Fuente: SecList

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!