ASA-2019-00373 – PC-Doctor Toolbox: Elemento do caminho de pesquisa não controlado


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00373

Identificador(es)

ASA-2019-00373, DSA-2019-084, CVE-2019-12280

Título

Elemento do caminho de pesquisa não controlado

Fabricante(s)

PC-Doctor
Dell

Produto(s)

PC-Doctor Toolbox for Windows

Dell SupportAssist for Business
Dell SupportAssist for Home

Versão(ões) afetada(s)

PC-Doctor Toolbox for Windows versões anteriores a 7.3. Também conhecido como:

CORSAIR ONE Diagnostics
CORSAIR Diagnostics
Staples EasyTech Diagnostics
Tobii I-Series Diagnostic Tool
Tobii Dynavox Diagnostic Tool

Dell SupportAssist for Business PCs versão 2.0
Dell SupportAssist for Home PCs versão 3.2.1 e todas as versões anteriores

Versão(ões) corrigida(s)

PC-Doctor Toolbox for Windows versão 7.3

Dell SupportAssist for Business PCs versão 2.0.1
Dell SupportAssist for Home PCs versão 3.2.2

Prova de conceito

Desconhecido

Descrição

Elemento do caminho de pesquisa não controlado no PC-Doctor Toolbox for Windows anterior à versão 7.3 permite que usuários locais obtenham privilégios e conduzam ataques de DLL hijacking por meio de um trojan horse DLL localizado em um diretório não seguro que foi adicionado à variável de ambiente PATH.

Detalhes técnicos

Desconhecido

Solução alternativa

Desconhecido

Créditos

Peleg Hadar (SafeBreach)

Referência(s)

OEM Software Puts Multiple Laptops At Risk
https://safebreach.com/Post/OEM-Software-Puts-Multiple-Laptops-At-Risk

DSA-2019-084: Dell SupportAssist for Business PCs and Dell SupportAssist for Home PCs Security Update for PC Doctor Vulnerability
https://www.dell.com/support/article/br/pt/brdhs1/sln317291/dsa-2019-084-dell-supportassist-for-business-pcs-and-dell-supportassist-for-home-pcs-security-update-for-pc-doctor-vulnerability?lang=

PC-Doctor Toolbox before 7.3 has an Uncontrolled Search Path Element
https://seclists.org/fulldisclosure/2019/Jun/29

CVE-2019-12280
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12280

CVE-2019-12280
https://nvd.nist.gov/vuln/detail/CVE-2019-12280

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 23 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.