Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Vulnerabilidad en Google SketchUp podría permitir la ejecución remota de código
Publicado: 21 de junio de 2011
Versión: 1.0
Información general
Resumen ejecutivo
Microsoft proporciona una notificación de la detección y corrección de una vulnerabilidad que afecta a google SketchUp versión 7.1, versión de mantenimiento 2 y versiones anteriores. Microsoft descubrió y reveló la vulnerabilidad bajo la divulgación coordinada de vulnerabilidades al proveedor afectado, Google Inc. Google Inc. ha corregido la vulnerabilidad en su software.
Existe una vulnerabilidad en la forma en que SketchUp analiza un SketchUp especialmente diseñado (. Archivo SKP). Un atacante podría aprovechar esta vulnerabilidad y hacer que SketchUp salga inesperadamente y ejecute código arbitrario. Un atacante que aprovechara correctamente esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario que inició sesión. Si un usuario ha iniciado sesión con derechos de usuario administrativos, un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos.
Microsoft Vulnerability Research notificó este problema y se coordina con Google para garantizar la corrección de este problema. A la vulnerabilidad se le ha asignado la entrada CVE-2011-2478, en la lista Vulnerabilidades y exposiciones comunes. Para obtener más información, incluida la información sobre las actualizaciones de Google SketchUp, consulta Notas de la versión de Google SketchUp.
Factores de mitigación
- En un escenario de ataque basado en web, un atacante podría hospedar un sitio web que contiene un documento que se usa para aprovechar esta vulnerabilidad. Sin embargo, en todos los casos, un atacante no tendría forma de forzar a los usuarios a visitar el sitio web. En su lugar, un atacante tendría que convencer a los usuarios de visitar el sitio web, normalmente obteniendo que hagan clic en un vínculo en un mensaje de correo electrónico o un mensaje de Instant Messenger que lleve a los usuarios al sitio web del atacante.
- La vulnerabilidad no se puede aprovechar automáticamente a través de correo electrónico. Para que un ataque se realice correctamente, un usuario debe abrir un archivo adjunto que se envíe en un mensaje de correo electrónico.
- Un atacante que aprovechara correctamente esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos.
- Google SketchUp tiene una característica de actualización automática que está habilitada de forma predeterminada. Los usuarios que no han deshabilitado esta característica se actualizan automáticamente a una versión que ya no es vulnerable a este problema.
Detalles de asesoramiento
Propósito y recomendación
Propósito del aviso: para notificar a los usuarios una vulnerabilidad y su corrección.
Estado de aviso: aviso publicado.
Recomendación: revise la sección Acciones sugeridas y configure según corresponda.
Referencias a problemas
Para obtener más información sobre este problema, consulte las referencias siguientes:
| Referencia | Identificación |
|---|---|
| Vulnerabilidades y exposiciones comunes | CVE-2011-2478 |
Software afectado y no afectado
Este aviso describe el siguiente software.
| Software afectado |
|---|
| Google SketchUp 7.1 Maintenance Release 2 y versiones anteriores |
| Software no afectado |
| Google SketchUp 8 |
| Google SketchUp 8 Maintenance Release 1 |
Preguntas más frecuentes
¿Cuál es el ámbito de este aviso?
Este aviso forma parte de una versión coordinada con los proveedores afectados para informar a los clientes de un problema de seguridad que pueda afectar a sus sistemas.
¿Se trata de una vulnerabilidad de seguridad que requiere que Microsoft emita una actualización de seguridad?
No. Esta vulnerabilidad se ha corregido a través de una actualización de los proveedores de terceros afectados. La actualización corrige el software que aparece en la tabla Software afectado.
¿Cuál es el ámbito de la vulnerabilidad?
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara correctamente esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario que inició sesión. Los usuarios con cuentas configuradas para tener menos derechos de usuario en el sistema podrían tener un impacto menor que los usuarios que operan con derechos de usuario administrativos.
¿Qué causa la vulnerabilidad?
La vulnerabilidad existe en la forma en que SketchUp controla determinados tipos de geometría perimetral no válida en un objeto especialmente diseñado. Archivo SKP.
¿Qué podría hacer un atacante para usar esta vulnerabilidad?
Un atacante que aprovechara correctamente esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario que inició sesión. Si el usuario ha iniciado sesión con derechos de usuario administrativos, un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado. El atacante, a continuación, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con derechos de usuario completos.
¿Cómo podría un atacante aprovechar la vulnerabilidad?
La explotación de esta vulnerabilidad requiere que un usuario abra un objeto especialmente diseñado. Archivo SKP con una versión afectada de Google SketchUp.
En un escenario de ataque basado en Web, un sitio web podría contener un documento especialmente diseñado que se usa para aprovechar esta vulnerabilidad. Un atacante no tendría forma de forzar a los usuarios a visitar el sitio web. En su lugar, un atacante tendría que convencer a los usuarios de visitar el sitio web y abrir el documento especialmente diseñado, normalmente obteniendo que hagan clic en un vínculo en un mensaje de correo electrónico o un mensaje de Instant Messenger que los lleve al sitio web del atacante y luego convencerlos para abrir el documento especialmente diseñado.
En un escenario de ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad mediante el envío de un documento especialmente diseñado al usuario y convencer al usuario de abrir el documento.
Acciones sugeridas
Aplique las actualizaciones proporcionadas por el proveedor o actualice a una versión que no se ve afectada por esta vulnerabilidad. Para obtener más información, incluida la información sobre las actualizaciones de Google SketchUp, consulta Notas de la versión de Google SketchUp.
Permitir que la instalación de SketchUp se actualice a sí misma. Asegúrese de que la característica de actualización automática, que está habilitada de forma predeterminada, no se ha deshabilitado.
Agradecimientos
Microsoft agradece lo siguiente:
- David Weston de Microsoft para descubrir este problema y el equipo de Google para trabajar hacia una resolución.
Declinación de responsabilidades
La información proporcionada en este aviso se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (21 de junio de 2011): Aviso publicado.
Compilado en 2014-04-18T13:49:36Z-07:00