18 nov. 2016

Actualización crítica en Avira Antivirus

Se ha publicado una vulnerabilidad crítica de ejecución de comando en el producto Avira Antivirus >= 15.0.21.86 que permite ejecutar comandos del sistema operativo. La explotación fue probada con éxito en Windows 7 pero seguramente puede ser explotada en versiones superiores.

Cuando se realiza una actualización manual de Avira y se importa un archivo ZIP, la aplicación no verifica "../" en el nombre del archivo, lo cual permite realizar un "path traversal" y escribir un programa en cualquier ubicación del sistema operativo base.

Se ha publicado una PoC en Python y en el video publicado se vé claramente cómo esto podría ser utilizado.
Avira ya ha lanzado la actualización y se recomienda actualizar a esta última versión.

Fuente: SecList

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!