Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en las tareas programadas en la máquina, SDMsgUpdate (Local) y SDMsgUpdate (TE) en SmartDraw (CVE-2020-13386)
Gravedad:
MediaMedia
Publication date: 27/05/2020
Last modified:
01/06/2020
Descripción:
En SmartDraw versión 2020 27.0.0.0, el instalador otorga permisos de escritura heredados al grupo Authenticated Users en la carpeta de instalación de SmartDraw 2020. Además, cuando el producto es instalado, son creadas dos tareas programadas en la máquina, SDMsgUpdate (Local) y SDMsgUpdate (TE). Las tareas programadas se ejecutan en el contexto del usuario que instaló el producto. Ambas tareas programadas intentan ejecutar el mismo binario, C:\SmartDraw 2020\Messages\SDNotify.exe. La carpeta Messages no existe por defecto y (por extensión) tampoco el archivo SDNotify.exe. Debido a los permisos débiles de la carpeta, estos pueden ser creados por cualquier usuario. Por lo tanto, un actor malicioso puede crear un binario SDNotify.exe malicioso y hacer que se ejecute automáticamente, siempre y cuando el usuario que instaló el producto se conecte a la máquina. El SDNotify.exe malicioso podría, por ejemplo, crear una nueva cuenta de administrador local en el equipo.
Vulnerabilidad en un skb en un mensaje netlink en la implementación del enlace SELinux LSM de kernels de Linux (CVE-2020-10751)
Gravedad:
BajaBaja
Publication date: 26/05/2020
Last modified:
15/07/2020
Descripción:
Se detectó un fallo en la implementación del enlace SELinux LSM de kernels de Linux versiones anteriores a 5.7, donde se asumía incorrectamente que un skb solo contendría un único mensaje netlink. El enlace incorrectamente solo comprobaría el primer mensaje netlink en el skb y permitiría o denegaría el resto de los mensajes dentro del skb con el permiso otorgado sin procesamiento adicional.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el manejo de EXIF Makemote en libexif. (CVE-2020-13113)
Gravedad:
MediaMedia
Publication date: 21/05/2020
Last modified:
26/07/2020
Descripción:
Se descubrió un problema en libexif versiones anteriores a la versión 0.6.22. Un uso de la memoria no inicializada en el manejo de EXIF Makemote podría conllevar a bloqueos y condiciones potenciales de uso de la memoria previamente liberada.
Vulnerabilidad en libEMF (ECMA-234 Metafile Library) (CVE-2020-11865)
Gravedad:
MediaMedia
Publication date: 11/05/2020
Last modified:
17/06/2020
Descripción:
libEMF (también se conoce como ECMA-234 Metafile Library) versiones hasta 1.0.11, permite un acceso a la memoria fuera de límites.
Vulnerabilidad en libEMF (ECMA-234 Metafile Library) (CVE-2020-11864)
Gravedad:
MediaMedia
Publication date: 11/05/2020
Last modified:
17/06/2020
Descripción:
libEMF (también se conoce como ECMA-234 Metafile Library) versiones hasta 1.0.11, permite una denegación de servicio (problema 2 de 2).
Vulnerabilidad en libEMF (ECMA-234 Metafile Library) (CVE-2020-11863)
Gravedad:
MediaMedia
Publication date: 11/05/2020
Last modified:
17/06/2020
Descripción:
libEMF (también se conoce como ECMA-234 Metafile Library) versiones hasta 1.0.11, permite una denegación de servicio (problema 1 de 2).