miércoles, 26 de febrero de 2014

Descubren dos vulnerabilidades en AutoCAD 2013 y anteriores.

Descubren dos vulnerabilidades en AutoCAD 2013 y anteriores.


El año pasado se había detectado una vulnerabilidad que afectaba a más de 50 productos de Autodesk en versiones del “2011 al 2014”, la vulnerabilidad, con CVE-2013-3665, residía en un error en el tratamiento de archivos DWG y Autodesk de inmediato ofreció a sus usuarios un Hotfix para solventar el problema.

Ahora se han reportado dos nuevas vulnerabilidades en AutoCAD en las que un atacante malicioso podría causar ejecuciones de código arbitrario.

AutoCAD es una herramienta de diseño asistido por ordenador para dibujo en 2D y 3D desarrollada por Autodesk. Es un software reconocido a nivel internacional muy valorado por Arquitectos, Ingenieros y diseñadores industriales.

La primera de las vulnerabilidades, con identificador CVE-2014-0818, se debe a un error en la forma que AutoCAD gestiona las rutas de búsqueda de archivos 'FAS' específicos. Uun atacante remoto sin autenticación podría valerse de esta vulnerabilidad para ejecutar código VBScript arbitrario con privilegios de la aplicación en ejecución a través de rutas de búsqueda de archivos 'FAS' especialmente modificadas.

La siguiente vulnerabilidad, con identificador CVE-2014-0819, se debe a un error en la gestión de AutoCAD de las rutas de búsqueda DLL, esto podría ser utilizado por un atacante remoto sin autenticación para elevar privilegios y potencialmente ejecutar código arbitrario a través de librerías dinámicas especialmente modificadas.

Afecta a las versiones de AutoCAD 2013 y anteriores, por lo que se recomienda actualizar a AutoCAD 2014.


Más información:

JVN#43254599 AutoCAD may insecurely load dynamic librarieshttp://jvn.jp/en/jp/JVN43254599/index.html

JVN#33382534 AutoCAD vulnerable to arbitrary VBScript executionhttp://jvn.jp/en/jp/JVN33382534/index.html
 

No hay comentarios:

Publicar un comentario