elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Fallo en Chrome Remote Desktop permite a invitados acceder a toda la información
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Fallo en Chrome Remote Desktop permite a invitados acceder a toda la información  (Leído 630 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.668



Ver Perfil WWW
Fallo en Chrome Remote Desktop permite a invitados acceder a toda la información
« en: 23 Abril 2018, 21:30 pm »

 Check Point ha descubierto una vulnerabilidad en la aplicación Chrome RDP para macOS, que aún no está resuelta.
Diario TI 23/04/18 13:14:57

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor especializado en ciberseguridad a nivel mundial, ha descubierto una vulnerabilidad que permite a un perfil de invitado de Chrome RDP ver toda la información del usuario. Chrome Remote Desktop es una extensión del navegador Chrome, que permite acceder de forma remota a otro equipo a través del browser o de un Chromebook. Es totalmente multiplataforma y es compatible con prácticamente cualquier dispositivo.

Uno de los analistas de seguridad de Check Point ha observado un comportamiento extraño en Google Chrome RDP para macOS; una irregularidad que permite a un usuario invitado acceder a una sesión activa de otro usuario (que puede ser el administrador) sin tener que introducir una contraseña.

Cómo funciona el bug

En macOS es posible dejar que otras personas usen tu ordenador temporalmente como invitados sin añadirlos como usuarios individuales. De hecho, el administrador puede utilizar los controles parentales para establecer restricciones con respecto a los contenidos y funciones a los que pueden acceder.

Sin embargo, la opción ‘Cuenta de invitado’ no está habilitada de forma predeterminada y no necesita una contraseña para iniciar sesión. Cuando alguien inicia sesión de esta manera, los archivos creados se almacenan en una carpeta temporal, que actúa de forma similar a un sandbox, y su contenido se elimina una vez que cierra la sesión.

Para aprovechar este fallo, una vez que el invitado se conecta a un equipo de escritorio remoto, el equipo debe tener al menos un usuario activo (por ejemplo, alguien ha iniciado sesión y ha bloqueado la pantalla después de un tiempo determinado). Más tarde, simplemente entrando en la aplicación Chrome Remote Desktop, podrá acceder a toda la información del administrador sin necesidad de hacer login.

Para más información, visite el blog de Check Point Research:
https://research.checkpoint.com/guest-accounts-gain-full-access-chrome-rdp/

https://diarioti.com/fallo-en-chrome-remote-desktop-permite-a-invitados-acceder-a-toda-la-informacion-del-administrador/107331


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines