BUSQUEDA EN GOOGLE

ABG COMPUTACION Y TECNOLOGIA

ABG COMPUTACION Y TECNOLOGIA
tecnicopcabg@gmail.com

NOTICIAS DE HOY DESDE SANTA FE y TWITER

------------------------------------------------------- TESTEA TU VELOCIDAD DE INTERNET ------------------------------------------------------- Test your Internet connection speed at Speedtest.net ------------------------------------------------------- ENTERATE DE TODO EN MI TWITTER HACE CLICK EN EL ENLACE SIGUIENTE -------------------------------------------------------

VIDEOS INFORMATICA

Loading...

CLASES Y REPARACION

clases y reparacion

clases y reparacion

Buscar este blog

TELEFONOS

TELEFONOS

ENSEÑANZA

ENSEÑANZA

NUEVOS TELEFONOS

4591009
4590083
155-779043




Mis paginas web con Información:
http://www.xigma74.com/

http://www.abgcomputacion.com/
----------------------------------------------------------------------Mail: tecnicopcabg@gmail.com




Nos dedicamos a:
servicio tecnico,computacion,servicio computacion,servicio computadoras,servicio tecnico computacion,computadoras,sola,computadora sola,servicio tecnico pc,servicio pc,reparaciones pc,informatica,mantenimiento redes,redes,instalacion redes,asistencia tecnica,asesoramiento,venta computadoras,pehuajo,sw computacion,sw,trenque lauquen,buenos aires,walter,dari,walter dari,redes inalambricas,Linux,servidores Linux,servidor Linux,sistemas administrativos,sistema administrativo,sistemas a medida,computadoras armadas,reparaciones computadoras,reparaciones,reparaciones computacion



Páginas vistas en total

martes, 7 de agosto de 2012

El plugin de navegador de Ubisoft, permite a un atacante ejecutar cualquier programa

El plugin de navegador de Ubisoft, permite a un atacante ejecutar cualquier
programa
-----------------------------------------------------------------

Tavis Ormandy ha descubierto un error de ejecución de código en el plugin
para los navegadores web que proporciona Uplay. El fallo es muy simple,
tanto su explotación como su concepto.

Uplay es una aplicación de Ubisoft necesaria para registrar los juegos al
comprarlos (en definitiva, un DRM) y a la vez, jugar con otros jugadores a
través de Internet. Uplay dispone de un plugin para los navegadores web, que
es donde se encuentra la vulnerabilidad.

El plugin, oficialmente, permite al usuario lanzar en su equipo un juego de
la compañía a través de una página web. Esta ejecución se hace a través de
JavaScript, creando un objeto con ciertas características y "ejecutándolo",
así sabe el plugin qué juego debe lanzar. El problema viene cuando este
plugin no hace comprobación acerca del programa que se está ejecutando,
pudiendo lanzar cualquier aplicación que el usuario tenga en su sistema.

La prueba de concepto demuestra la posible ejecución de cualquier programa
alojado en el sistema, con lo que la ejecución de código arbitrario es
posible. Para que una víctima se vea afectada, debe solo visitar una web
especialmente manipulada que llame el componente de Uplay. Cabe destacar que
al no tratarse de una vulnerabilidad que deba ser explotada a través de la
"inyección" de comandos, las medidas de seguridad para prevenir este tipo de
fallos tradicionales que permiten ejecución de código (ASRL, DEP...) no
tienen cabida. La única limitación serían los permisos con los que se lanza
el programa vulnerable.

Mozilla ha introducido en su "lista negra" el plugin de Uplay para que no
pueda ser ejecutado en el navegador, y así evitar el posible riesgo.

Los usuarios que hayan utilizado juegos de Ubisoft que instalen este plugin
(Anno 2070, Assassin's Creed, Heroes of Might...) deben actualizar Uplay a
la versión 2.04, que elimina este fallo de seguridad.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/08/el-plugin-de-navegador-de-ubisoft.html#
comments

Más información

Blocked Add-ons Firefox:
https://addons.mozilla.org/en-US/firefox/blocked/p113

Full Disclosure Mailing List - Prueba de concepto:
http://seclists.org/fulldisclosure/2012/Jul/375

Uplay:
http://uplay.ubi.com/es-ES

No hay comentarios:

Publicar un comentario

muchas gracias por los comentarios