Descubiertas vulnerabilidades en X-Diesel Unreal Commander v.092
(build 574) que podrían ser aprovechadas por un atacante para
comprometer un sistema vulnerable sobreescribiendo archivos.
Unreal Commander es una premiada utilidad freeware para sistemas
Windows 98/ME/2000/XP/2003/Vista. La aplicación soporta múltiples
formatos de archivos, incluye un cliente de FTP y otras
funcionalidades.
Las vulnerabilidades tienen su origen al procesar archivos ZIP y RAR
malformados que provoquen una escalada de directorios, pudiendo
aprovechar el atacante para escribir ficheros en el sistema en
cualquier localización y no en la carpeta elegida por el usuario
legítimo. Es posible el compromiso total del sistema, especialmente
si el usuario ejecuta Unreal Commander con privilegios de
administrador.
Aunque el desarrollador ha sido avisado sobre el problema, aun no
ha publicado una actualización para corregir la vulnerabilidad. A
falta del parche, se recomienda a los usuarios de Unreal Commander
extremen la precaución al procesar ficheros ZIP o RAR de terceros
no confiables.
Toda la información y pruebas de concepto se pueden encontrar en
el aviso original: http://blog.hispasec.com/lab/231
laboratorio@hispasec.com
Más información:
X-Diesel Unreal Commander v0.92 (build 573) multiple vulnerabilities
http://blog.hispasec.com/lab/advisories/adv_UnrealCommander_0_92_build_573_Multiple_Vulnerabilities.txt
Deja un comentario