Se han reportado dos
vulnerabilidades en AutoCAD en las que un atacante malicioso podria causar
ejecuciones de código arbitrario.
AutoCAD es una herramienta de diseño asistido por ordenador para dibujo en 2D y 3D desarrollada por Autodesk. Es un software reconocido a nivel internacional muy valorado por Arquitectos, Ingenieros y diseñadores industriales.
Recursos afectados
- Afecta a las versiones de AutoCAD 2013 y anteriores, por lo que se recomienda actualizar a AutoCAD 2014.
- La primera de las vulnerabilidades, con identificador CVE-2014-0818, se debe a un error en la forma que AutoCAD gestiona las rutas de búsqueda de archivos 'FAS' específicos. Un atacante remoto sin autenticación podría valerse de esta vulnerabilidad para ejecutar código VBScript arbitrario con privilegios de la aplicación en ejecución a través de rutas de búsqueda de archivos 'FAS' especialmente modificadas.
- La siguiente vulnerabilidad, con identificador CVE-2014-0819, se debe a un error en la gestión de AutoCAD de las rutas de búsqueda DLL, esto podría ser utilizado por un atacante remoto sin autenticación para elevar privilegios y potencialmente ejecutar código arbitrario a través de librerías dinámicas especialmente modificadas.
- JVN#43254599. AutoCAD may insecurely load dynamic libraries. http://jvn.jp/en/jp/JVN43254599/index.html
- JVN#33382534. AutoCAD vulnerable to arbitrary VBScript execution. http://jvn.jp/en/jp/JVN33382534/index.html
