en

دو آسيب پذيري در Cisco AnyConnect VPN Client

IRCAD2011061226
شماره:IRCAD2011061226
تاريخ انتشار: 02-06-2011
آخرين به روز رساني: 03-06-2011
ميزان حساسيت: بسيار مهم
نرم افزارهاي تحت تاثير:
Cisco AnyConnect VPN Client 2.x
توضيح:
دو آسيب پذيري در Cisco AnyConnect VPN Client گزارش شده است كه مي­توانند توسط افراد خرابكار داراي دسترسي فيزيكي مورد سوء استفاده قرار گيرند تا از محدوديت­هاي امنيتي خاص عبور نمايند، و مي­توانند توسط افراد خرابكار مورد سوء استفاده قرار گيرند تا كنترل سيستم قرباني را در اختيار بگيرند.
1- يك خطا در واسط گرافيكي كاربر در هنگام نمايش آن بر روي صفحه logon ويندوز مي­تواند براي انجام فعاليت­هاي خاص با حق دسترسي­هاي حساب LocalSystem مورد سوء استفاده قرار گيرد.
سوء استفاده موفقيت آميز از اين آسيب پذيري نياز به اين دارد كه ويژگي Start Before Logon فعال شده باشد.
2- يك خطا در برنامه كمك كننده (مانند Cisco.AnyConnect.VPNWeb.1) به طور ناامن ويژگي "url" را پياده سازي مي­كند كه منجر به اعتبار سنجي نامناسب هويت براي فايل­هاي اجرايي دانلود شده مي­گردد و مي­تواند براي دانلود و اجراي يك برنامه دلخواه مورد سوء استفاده قرار گيرد.
راهكار:
به يك نسخه ترميم شده به روز رساني نماييد.
منابع:

The Wall

No comments
You need to sign in to comment