Комментарии 13
Для изменения сценария отката уже установленного пакета разве не нужны админские права?
0
Так в этом и суть проблемы — его можно подменить в папке C:\Config.Msi, доступной для записи пользователям, а потом msiexec от имени системы внесёт изменения по новому сценарию отката.
0
У меня на компе вообще нет такой папки.
-1
Почему бы не отобрать у пользователей права на запись в эту папку?
+1
Добавил P. S. с более надёжным исправлением, это важно.
0
Это понятно. Что заставит msiexec брать оттуда планы отката, если это не папка по умолчанию?
0
Ну это же вам не sudo, это высококачественное коммерческое ПО, написанное высокласными опытными разработчиками. А что не смогли за четыре раза дыру прикрытить, ну нечего, главное верить, что закрытый код, он априори лучше и безопаснее и самое главное "несите ваши денежки — иначе быть беде..."
+1
В sudo тоже свои проблемы. Хорошо, что в debian он выключен.
Уязвимость проявляется с июля 2011 года и вызвана переполнением буфера при обработке символов экранирования строки в параметрах, предназначенных для запуска команд в режиме shell.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Обнаружена 0day уязвимость повышения привилегий в Windows 7-10