TrueConf Client загружает код обновления приложения и применяет его без выполнения проверки. Злоумышленник, который может повлиять на путь доставки обновлений, может подменить подделанную полезную нагрузку обновления. Если полезные данные выполняются или устанавливаются средством обновления, это может привести к выполнению произвольного кода в контексте процесса обновления или пользователя.
Показать оригинальное описание (EN)
TrueConf Client downloads application update code and applies it without performing verification. An attacker who is able to influence the update delivery path can substitute a tampered update payload. If the payload is executed or installed by the updater, this may result in arbitrary code execution in the context of the updating process or user.
Характеристики атаки
Способ атаки
Смежная сеть
Нужен доступ к локальной сети
Сложность
Низкая
Легко эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v3.1