รายละเอียดช่องโหว่
Acer ControlCenter มีช่องโหว่ในการยกระดับสิทธิ์ในเครื่องท้องถิ่น กระบวนการนี้เปิดเผยช่องโหว่แบบWindows Named Pipe โดยใช้โปรโตคอลที่กำหนดเองเพื่อเรียกใช้ฟังก์ชันภายในบริการท่อที่กำหนดชื่อ (Named Pipe) ที่กล่าวถึงข้างต้นถูกกำหนดค่าผิดพลาด ทำให้ผู้ใช้ระยะไกลที่ไม่ได้รับการยืนยันตัวตนสามารถโต้ตอบกับท่อดังกล่าวได้ และโดยขยายไปถึงฟีเจอร์ใดๆ ที่ใช้งานผ่านท่อที่กำหนดชื่อนี้ได้ หนึ่งในฟีเจอร์ของบริการนี้คือการเรียกใช้ไฟล์ปฏิบัติการใดๆ ในฐานะ NT AUTHORITY\SYSTEM เมื่อใช้ช่องโหว่นี้ ผู้โจมตีระยะไกลสามารถรันโค้ดที่เป็นอันตรายบนโฮสต์เป้าหมายจากระยะไกลได้ในบริบทที่มีสิทธิ์สูง
ขอบเขตผลกระทบ
Acer ซอฟต์แวร์ศูนย์ควบคุม
การแก้ไขปัญหา
Acer ได้เปิดตัวเวอร์ชันใหม่ของศูนย์ควบคุมAcer เพื่อแก้ไขปัญหานี้ คุณสามารถค้นหาเวอร์ชันล่าสุดของศูนย์ควบคุมAcer สำหรับอุปกรณ์ของคุณได้ที่ ไดร์เวอร์และคู่มือไซต์
เครดิต
Acer ขอบคุณ Leon Jacobs จาก Orange Cyber Defense ที่รายงานปัญหานี้
คำแถลงการณ์ไม่รับผิดชอบ
ข้อมูลข้างต้นนี้จัดทำขึ้น "ตามสภาพที่เป็นอยู่" เพื่อใช้ร่วมกับผลิตภัณฑ์ของACER และ INTEL® การใช้ข้อมูลหรือเนื้อหาที่เชื่อมโยงจากหน้านี้ถือเป็นความเสี่ยงของท่านเองACER ขอสงวนสิทธิ์ในการเปลี่ยนแปลงหรือปรับปรุงหน้านี้ได้ตลอดเวลา