Einloggen | Ausloggen

News-Meldung vom 15.11.2006 09:18

Alert! Kritische Lücke durch WinZip-ActiveX-Modul

Der weit verbreitete Windows-Packer WinZip verankert in Version 10 bei der Installation ein ActiveX-Modul im System, das Sicherheitslücken enthält. Der Besuch einer präparierten Webseite reicht aus, um den Rechner zu kompromittieren.

Das WinZip-ActiveX-Modul WZFILEVIEW.FileViewCtrl.61, eine eigene Umsetzung der Funktionen des FileView-ActiveX-Moduls, ermöglicht Angreifern das Einschleusen von Schädlingen mit manipulierten Webseiten. Bei der Installation wird das ActiveX-Control als "safe for scripting" markiert, wodurch der Internet Explorer es auf Anforderung einer Webseite einbindet.

Betroffen sind nur Nutzer der 10er-Versionen von WinZip, ältere Fassungen enthalten das ActivX-Modul noch nicht. Die aktuelle Version WinZip 10.0 Build 7245 schließt die Lücke. Alternativ können Administratoren auch das Killbit für die ActiveX-Komponente setzen, die CLSID davon lautet {A09AE68F-B14D-43ED-B713-BA413F03490}.

Siehe dazu auch:

WinZip 10.0 Build 7245, Releasenotes zur aktuellen WinZip-Version
WinZip FileView ActiveX Control Unsafe Method Exposure Vulnerability, Fehlermeldung der Zero Day initiative

(dmk)

English Version: Critical hole through WinZip ActiveX module

« Vorige | Nächste »

Version zum Drucken | Per E-Mail versenden

Permalink: http://heise.de/-117953

Kommentare lesen (76 Beiträge)

Themen-Forum Schwachstellen

Auch auf heise online:

Der Update-Check

Beseitigen Sie in wenigen Minuten eines der größten Sicherheitsprobleme: veraltete Programme mit bekannten Sicherheitslücken

Topartikel

Analyse von Apps für Windows Phone 7

Ein Tool hilft beim Entpacken und Dekompilieren der Smartphone-Apps, um eine detaillierte Sicherheitsanalyse zu ermöglichen. Mehr…

Das Jahr 2012: Rückblick durch die Glaskugel

Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. Mehr…

Facebooks Schutzbehauptung

Endlich gibt Facebook zu, dass der Konzern die Daten über das Surf-Verhalten seiner Nutzer im Internet durchaus nutzt. Aber natürlich nur zu unserem Besten -- und wir sollen das bitteschön einfach mal glauben. Mehr…

Alerts

Kritischer PHP-Bug in 5.3.9

Die PHP-Entwickler arbeiten gerade fieberhaft an der Beseitigung einer kritischen Sicherheitslücke in PHP, die sie selber erst durch einen Sicherheits-Patch eingeführt haben. Noch lässt sich die Tragweite nicht ganz abschätzen. Mehr…

Firefox, Thunderbird und SeaMonkey

Wer veraltete Programmversionen von Firefox, Thunderbird und SeaMonkey nutzt, kann sein System leicht mit Schadcode infizieren. Mehr…

sudo

Nutzer mit eingeschränkten Rechten können durch die Lücke Code mit Root-Rechten ausführen. Die Entwickler haben ein Update herausgegeben, das die Schwachstelle beseitigt. Mehr…

Neueste Forenbeiträge:

„Der Kommentar“

Das Jahr 2012: Rückblick durch die Glaskugel Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. Mehr…

Facebooks Schutzbehauptung Endlich gibt Facebook zu, dass der Konzern die Daten über das Surf-Verhalten seiner Nutzer im Internet durchaus nutzt. Aber natürlich nur zu unserem Besten -- und wir sollen das bitteschön einfach mal glauben. Mehr…

Druckerhöhung Da die Banken bei der Sicherheit ihrer Webauftritte weiterhin schludern, wird es Zeit, dass sich höhere Stellen um das Problem kümmern. Mehr…

Bitte vergessen Der angebliche "digitale Radiergummi" ist eine Luftnummer - das Problem das er lösen soll ist jedoch real. Mehr…

Das Jahr 2011: Rückblick durch die Glaskugel Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2011. Mehr…

Dienste

News und Artikel

Service

Dienste