VNC es un software desarrollado por la empresa
RealVNC. Se compone de un servidor y un cliente (viewer) que permite
interactuar con el escritorio de entornos Windows, Linux, Solaris y HP-UX desde
cualquier plataforma a su vez. Es un
software licenciado bajo GPL de uso muy extendido entre los administradores de
red, debido a su sencillez y potencia.
Recursos
afectados
Existe un fallo de seguridad que afecta a VNC
5.06 en sus versiones para Mac OS y Unix.
Detalle
e Impacto de la vulnerabilidad
La
vulnerabilidad ha sido identificada como CVE-2013-6886, es debida a una falta
de comprobación de determinados argumentos pasados a vncserver y vncserver-x11
en modo usuario y a Xvnc en modo virtual. Un usuario local sin privilegios
podría aprovechar esta vulnerabilidad para escalar privilegios y ejecutar
código arbitrario como root.
Recomendación
La vulnerabilidad ha sido corregida
en la versión 5.07 de VNC, http://www.realvnc.com/products/vnc/documentation/5.0/release-notes/,
la cual se encuentra disponible para su descarga en la página oficial de
RealVNC
Más
información:
VNC 5.0.7
Una
al día (6/01/2014)
Fuente:
Hispasec