Cisco AnyConnect VPN Client 兩個漏洞
最後更新
2011年06月03日 11:28
發佈日期:
2011年06月03日
3427
觀看次數
風險: 高度風險
類型: 保安軟件及應用設備 - 保安軟件及應用設備
在 Cisco AnyConnect VPN Client 發現兩個漏洞,惡意使用者可透過實體存取,利用漏洞繞過保安限制及控制使用者系統。
由於顯示視窗登入畫面時,用戶介面產生錯誤,攻擊者可透過 LocalSystem 帳戶權限,利用漏洞進行某些活動。
需啟動 Start Before Logon (SBL) 功能才可成功利用以上漏洞。由於不適當地驗證所下載的執行程式,作為遠端用戶端(例如 "Cisco.AnyConnect.VPNWeb.1" ActiveX 控制)配置的輔助應用程式出現錯誤,攻擊者可利用漏洞下載及執行任意程式碼。
影響
- 遠端執行程式碼
- 繞過保安限制
受影響之系統或技術
- Cisco AnyConnect VPN Client 2.x
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
更新至已修復版本 (該詳細資料,請參考供應商保安忠告)。
http://www.cisco.com/warp/public/707/cisco-sa-2011
漏洞識別碼
資料來源
相關連結
分享至