Vigil@nce - Symantec PGP/Encryption Desktop : élévation de privilèges via RDDService
août 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut placer un programme illicite dans le PATH
du service RDDService de Symantec PGP/Encryption Desktop, afin
d’élever ses privilèges.
Produits concernés : Symantec Encryption Desktop, PGP Desktop
Gravité : 2/4
Date création : 02/08/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Les produits Symantec PGP Desktop et Symantec Encryption Desktop
installent le service RDDService
Cependant, ce service appelle une commande externe sans spécifier
son chemin d’accès complet.
Un attaquant local peut donc placer un programme illicite dans le
PATH du service RDDService de Symantec PGP/Encryption Desktop,
afin d’élever ses privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET