BDU:2017-01422: Уязвимость недостаточной проверки файлов обновлений в папке обновлений клиента программного комплекса защиты информации VipNet Client, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость программного комплекса защиты информации VipNet Client связана с недостаточной проверкой прав доступа к папке с обновлениями и недостаточной проверкой целостности и подлинности файлов обновлений. Эксплуатация уязвимости может позволить нарушителю, действующему локально, создать поддельный файл обновления, содержащий произвольный код, разместить его в папке обновлений, а затем выполнить с системными привилегиями или привилегиями администратора
Вендор ОАО «ИнфоТеКС»
Наименование ПО VipNet Client из состава ПКЗИ ViPNet 4
Версия ПО
  • 4.х до версии 4.3 (2.37373) включительно
  • 3.х
Тип ПО Программное средство защиты
Операционные системы и аппаратные платформы
  • Microsoft Corp. Windows . 64-bit
  • Microsoft Corp. Windows . 32-bit
Тип ошибки Разрешения, привилегии и средства управления доступом
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 14.06.2017
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6)
Возможные меры по устранению уязвимости
Обновление программного обеспечения на версию ViPNet Client 4.3.2 (46794).
Пользователям предыдущих версий ViPNet Client рекомендуется создать замкнутую программную среду при помощи ПО ViPNet SysLocker
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации Данные уточняются
Способ устранения Данные уточняются
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация -
Последние изменения