รายละเอียดช่องโหว่
โซลูชันAcer ControlCenter ประกอบด้วยคอมโพเนนต์ที่ทำงานเป็นเซอร์วิสภายใต้ผู้ใช้ NT AUTHORITY\SYSTEM กระบวนการนี้จะเปิดเผยWindows Named Pipe โดยใช้โปรโตคอลที่กำหนดเองเพื่อเรียกใช้ฟังก์ชันภายในเซอร์วิส เซอร์วิสนี้ไม่จำกัดว่าไฟล์ปฏิบัติการใดสามารถเรียกใช้ได้ และไม่ป้องกันผู้ใช้ที่มีสิทธิ์ต่ำกว่าจากการโต้ตอบกับ Named Pipe ดังกล่าว ในขณะที่อนุญาตให้ผู้เรียกควบคุมแฟล็กที่กำหนดระดับผู้ใช้ที่ไฟล์ไบนารีใดๆ จะทำงานในนาม
หนึ่งในคำสั่งที่รองรับในการให้บริการผ่าน Named Pipe ทำให้สามารถเรียกใช้ไบนารีใดๆ จากผู้ใช้ที่มีสิทธิ์ต่ำในบริบทที่มีสิทธิ์สูงขึ้นได้
ขอบเขตผลกระทบ
Acer ซอฟต์แวร์ศูนย์ควบคุม
การแก้ไขปัญหา
Acer ได้เปิดตัวเวอร์ชันใหม่ของศูนย์ควบคุมAcer เพื่อแก้ไขปัญหานี้ คุณสามารถค้นหาเวอร์ชันล่าสุดของศูนย์ควบคุมAcer สำหรับอุปกรณ์ของคุณได้ที่ ไดร์เวอร์และคู่มือไซต์
เครดิต
Acer ขอบคุณ Leon Jacobs จาก Orange Cyber Defense ที่รายงานปัญหานี้
คำแถลงการณ์ไม่รับผิดชอบ
ข้อมูลข้างต้นนี้จัดทำขึ้น "ตามสภาพที่เป็นอยู่" เพื่อใช้ร่วมกับผลิตภัณฑ์ของACER และ INTEL® การใช้ข้อมูลหรือเนื้อหาที่เชื่อมโยงจากหน้านี้ถือเป็นความเสี่ยงของท่านเองACER ขอสงวนสิทธิ์ในการเปลี่ยนแปลงหรือปรับปรุงหน้านี้ได้ตลอดเวลา