Menü
Alert!

Sicherheitslöcher in IBMs Access-Support-ActiveX-Controls

vorlesen Drucken Kommentare lesen 29 Beiträge

In zwei ActiveX-Controls des IBM Access Support sind Sicherheitslöcher enthalten, mit denen nach Angaben des Sicherheitsdienstleisters eEye ein Angreifer verwundbare Systeme kompromittieren kann. Das Control acpRunner enthält die unsicheren Methoden DownLoadURL, SaveFilePath und Download, über die ein Webserver beim Aufruf Dateien an beliebigen Orten auf dem System ablegen kann -- zum Beispiel in den Autostart-Ordner. Auch das Control eGatherer bringt unsichere Funktionen mit. GetMake, GetModel, GetOSName, SetDebugging und RunEgatherer können ebenfalls zum Ablegen von Dateien benutzt werden. Ein Angreifer kann darüber mit einem manipulierten Webserver Trojaner und andere Malware in den PC einschleusen.

Nach Angaben von eEye dienen die Controls von IBM eigentlich als automatisierte Support-Lösung für die PCs des Herstellers; sie seien standardmäßig auf vielen Modellen von IBM installiert. Betroffen sind acpRunner Activex Version 1.2.5.0 und IBM Access Support (eGatherer) Activex Version 2.0.0.16. Der Hersteller hat bereits einen Patch zur Verfügung gestellt.

Siehe dazu auch: (dab)