07.04.2004 11:24
Alert! McAfees und Pandas Online-Virenscanner ebenfalls fehlerhaft
Rafel Ivgi hat zwei weitere Security Advisories veröffentlicht, in denen er ähnliche Fehler bei McAfee und Panda beschreibt, wie er sie schon in Symantecs ActiveX-Controls gefunden hat. Bei McAfees Online-Dienst Freescan ist das ActiveX-Objekt "McFreeScan.CoMcFreeScan.1" Schuld, bei dem sehr lange Scan-Parameter den Stack überschreiben können. Zusätzlich verrät die Funktion einige Pfadnamen, unter anderem solche, in denen der Benutzername (Dokumente und Einstellungen) angegeben ist. Eine manipulierte Webseite, die das Control aufruft, kann damit Informationen über das Zielsystem für weitergehende Angriffe sammeln.
Bei Pandas ActiveScan liegt der Fehler im Control "ascontrol.dll". Ein Objekt zur Definition der Sprache erzeugt bei Parametern mit mehr als 255 Zeichen einen Pufferüberlauf. Sowohl bei McAfee als auch bei Panda lassen sich die Fehler lokal und über Webseiten ausnutzen. Die in den Advisories gezeigten Demo-Exploits führen nur zum Absturz der verwundbaren Controls. Prinzipiell kann ein Angreifer damit aber auch eigenen Code auf das System schreiben und starten, nach Angaben von Ivgi bei Pandas Controls sogar im System-Kontext.
Ob die Hersteller bereits über das Problem informiert sind, gibt Ivgi in seinen Advisories nicht an. Obwohl er sie erst heute auf der Mailing-Liste Full Disclosure veröffentlicht hat, sind sie bereits einige Tage alt. Anwender sollten die verwundbaren Controls unter C:\Windows\Downloaded Program Files\ deinstallieren und ActiveX deaktivieren.
Mit der Problematik unsicherer ActiveX-Controls befasst sich auch der aktuelle Kommentar auf heise Security: (Un-)Sicheres ActiveX, die Xte
Update
Weitergehende Tests haben gezeigt, dass in Mcafees ActiveX-Controls kein Buffer Overflow enthalten ist, der das Einschleusen und Ausführen von Code ermöglicht. Vielmehr basiert der Fehler auf einer sogenannten Null-Pointer-Dereference, bei der der Versuch auf freigegebenen Speicher zuzugreifen zum Absturz führt. Der Fehler in Pandas Controls basiert auf einem Heap Overflow, der aber das Einschleusen und Starten von Code erlaubt.
Siehe dazu auch:
- Security Advisory zu McAfee Freescan von Rafel Ivgi
- Security Advisory zu Panda ActiveScan von Rafel Ivgi
- Buffer Overflow in Symantecs Online-Virenscanner auf heise Securiy
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
