17 marzo 2009

Security Focus (http://www.securityfocus.com/) riporta un bollettino di sicurezza (Bugtraq ID 33845 (http://www.securityfocus.com/bid/33845/info)) in cui si spiega che è stata trovata una vulnerabilità in Symantec pcAnywhere di cui soffre di un problema al local format-string (formato di stringa locale).

Un attacker da locale può sfruttare questa falla per far crashare l'applicazione affetta, restituendo una condizione di negazione del servizio al legittimo user (DoS). Il malintenzionato potrebbe anche eseguire codice arbitrario malevolo nel contesto dell'applicazione fallata, ma questo non è stato confermato.

La vulnerabilità è stata confermata in pcAnywhere 12.0, 12.1 e 12.5; non si esclude che anche altre versioni siano affette dal medesimo bug.

Soluzione:
Il produttore ha rilasciato una nuova versione che corregge il problema (Symantec pcAnywhere 12.5 SP1), per aggiornamenti, contattare Symantec.

Classe falla:
Design Error

Falla scoperta da:
Deral Heiland from Layered Defense

Advisory d'origine:
http://www.symantec.com/avcenter/security/Content/2009.03.17.html



Fonte: SecurityFocus (http://www.securityfocus.com/bid/33845/info)