Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad en el control de procesos de Elipse E3

Vulnerabilidad en el control de procesos de Elipse E3

Fecha de publicación: 
11/03/2015
Importancia: 
3 - Media
Recursos afectados: 
  • Elipse E3, Versión 4.5.232-4.6.161
  • EQATEC.Analytics.Monitor.Win32_vc100.dll (32-bit)
  • EQATEC.Analytics.Monitor.Win32_vc100-x64.dll (64-bit)
Descripción: 

Iván Sánchez, de Nullcode Team ha reportado una vulnerabilidad en el control de procesos en la aplicación Elipse E3, que podría permitir ejecución arbitraria de código.

Solución: 

Elipse ha lanzado una nueva versión que mitiga esta vulnerabilidad, la versión 4.6.162, que incorpora una nueva versión de la DLL de Telerik vulnerable, la versión 3.2.129.

Detalle: 

Una DLL vulnerable de la empresa Telerik, utilizada con OpenSSL permite la llamada a otras librerías DLL no relacionadas con la criptografía en tiempo de ejecución. Estas DLL adicionales a las que se llama podrían permitir la ejecución de código de forma arbitraria.

Esta vulnerabilidad no se puede explotar de forma remota y debe contar con la interacción del usuario, pues se necesita que el usuario local ejecute una aplicación vulnerable y cargue un archivo malformado.