25.01.2012 | 22:24

Adam Haertle

Symantec ostrzega – dziury w pcAnywhere!

W ostrzeżeniu wydanym wczoraj Symantec ostrzega przed poważnymi błędami w pcAnywhere, pozwalającymi między innymi na uzyskanie zdalnego dostępu do komputera, na którym pracuje to oprogramowanie.

Zgodnie z treścią ostrzeżenia, Symantec został poinformowany o dwóch poważnych błędach w swojej aplikacji służącej do zdalnego zarządzania komputerami. Pierwszy błąd dotyczy niewłaściwej weryfikacji danych wejściowych podczas procesu logowania i autoryzacji do usługi na porcie 5631. Odpowiednio spreparowane dane mogą spowodować zarówno wyłączenie usługi, jak i uzyskanie przez atakującego dostępu do systemu z prawami takimi, jak aplikacja (najczęściej są to uprawnienia systemowe).

Drugi błąd polega na błędnym nadaniu uprawnień niektórym plikom w trakcie instalacji oprogramowania. Umożliwia on atakującemu, posiadającemu lokalny dostęp do plików, podmienić je i uzyskać w ten sposób wyższe uprawnienia pcAnywhere.

Oba błędy dotyczą wersji 12.5 (najstarszej wspieranej przez Symanteca) oraz prawdopodobnie mogą dotyczyć wersji wcześniejszych (brak informacji o ich podatności, ponieważ nie są już wspierane). Według komunikatu Symanteca błędy te nie są na razie wykorzystywane i nie zostały na nie opublikowane exploity. Wszyscy użytkownicy aplikacji powinni zaktualizować ją do wersji 12.5.3.

Powyższych informacji nie sposób nie połączyć z groźbami włamywaczy, którzy weszli w posiadanie kodu źródłowego starszej wersji pcAnywhere i przekazali ją innym hackerom w celu analizy pod kątem możliwych błędów. Wygląda więc na to, że Symantec postanowił wyprzedzić działania hackerów i poddał kod źródłowy własnej (lub zleconej) analizie, której efektem jest odkrycie dwóch wspomnianych wyżej błędów. Szkoda, że dopiero pod presją hackerów, ale lepiej późno, niż wcale.

Powrót

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Symantec ostrzega – dziury w pcAnywhere!

Komentarze