Acer Answers Bảo mật và lỗ hổng

Windows Quyền truy cập ống tên (Named Pipe) được cấu hình sai trong tệp ACCSvc.exe cho phép thực thi mã từ xa.

CHI TIẾT VỀ LỖ HỔNG BẢO M�

Acer ControlCenter chứa lỗ hổng leo thang特权 cục bộ. Quy trình này sử dụng ống tên (Named Pipe) của Dịch vụ Đăng nhập ( Windows ) với giao thức tùy chỉnh để gọi các chức năng bên trong dịch vụ. Ống tên (Named Pipe) nêu trên được cấu hình sai, cho phép người dùng từ xa, không được xác thực, tương tác với nó và qua đó truy cập vào bất kỳ tính năng nào có sẵn qua ống tên. Một tính năng của dịch vụ là thực thi các tệp thực thi tùy ý với quyền NT AUTHORITY\SYSTEM. Sử dụng điều này, kẻ tấn công từ xa có thể chạy mã tùy ý trên các máy chủ từ xa trong bối cảnh có đặc quyền.

Phạm vi tác động

Acer Phần mềm Trung tâm Điều khiển

Quyết định

Acer Đã phát hành phiên bản mới của Trung tâm Điều khiển Acer để giải quyết vấn đề này. Bạn có thể tìm thấy phiên bản mới nhất của Trung tâm Điều khiển Acer cho thiết bị của mình trên trang web của chúng tôi. Tài liệu hướng dẫn và Sách hướng dẫn trang web.

Tín dụng

Acer Xin cảm ơn Leon Jacobs tại Orange Cyber Defense đã báo cáo vấn đề này.

Lưu ý

THÔNG TIN TRÊN ĐƯỢC CUNG CẤP "NGUYÊN TRẠNG" LIÊN QUAN ĐẾN ACER VÀ SẢN PHẨM INTEL®. VIỆC SỬ DỤNG THÔNG TIN HOẶC TÀI LIỆU ĐƯỢC LIÊN KẾT TỪ TRANG NÀY LÀ TỰ CHỊU RỦI RO CỦA BẠN. ACER GIỮ QUYỀN THAY Đ�

Swift Series Intel^® Evo™

Game Pass

Acer Corner

Gaming on Chromebook

Swift Series Intel® Evo™

Game Pass

Acer Corner

Gaming on Chromebook

Swift Series Intel^® Evo™