Título: Elevación de privilegios en RealVNC Publicado por: wolfbcn en 7 Enero 2014, 14:10 pm Una vulnerabilidad en el popular software VNC de RealVNC podría permitir la elevación de privilegios.
VNC es un software desarrollado por la empresa RealVNC. Se compone de un servidor y un cliente (viewer) que permite interactuar con el escritorio de entornos Windows, Linux, Solaris y HP-UX desde cualquier plataforma a su vez. Es un software licenciado bajo GPL de uso muy extendido entre los administradores de red, debido a su sencillez y potencia. Existe un fallo de seguridad que afecta a VNC 5.06 en sus versiones para Mac OS y Unix. El error es debido a una falta de comprobación de determinados argumentos pasados a vncserver y vncserver-x11 en modo usuario y a Xvnc en modo virtual. Un usuario local sin privilegios podría aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario como root. La vulnerabilidad ha sido identificada como CVE-2013-6886 y corregida en la versión 5.07 de VNC, la cual se encuentra disponible para su descarga en la página oficial de RealVNC. Más información: VNC 5.0.7 http://www.realvnc.com/products/vnc/documentation/5.0/release-notes/ Juan José Ruiz jruiz@hispasec.com http://unaaldia.hispasec.com/2014/01/elevacion-de-privilegios-en-realvnc.html |