MSI Endanwender-Forum

News und Sonderforen => Foruminformationen => Thema gestartet von: Xela am 28. April 2004, 12:25:07

Titel: ACHTUNG McAfee USER
Beitrag von: Xela am 28. April 2004, 12:25:07
ACHTUNG McAfee USER

McAfee VirusScan installiert unsichere ActiveX-Controls:

McAfees (http://www.securitytracker.com/alerts/2004/Apr/1009956.html) Virenscanner VirusScan (http://us.mcafee.com/root/package.asp?pkgid=100&cid=9901) installiert auf Windows-Systemen unsichere ActiveX-Controls, mit denen Angreifer Zugriff auf die Registry erhalten und beliebige Schlüssel auslesen können. Dazu reicht es aus, dass ein Opfer mit dem Internet Explorer 6 -- und den Standard-Sicherheitseinstellungen -- ein HTML-Dokument aufruft, in dem entspechender Scripting-Code enhalten ist. Jonathan Payne, Entdecker der Lücke, hat dazu folgenden Code veröffentlicht, der zu Demonstrationszwecken Informationen zum Desktop-Hintergrundbild ausgibt:


 style=\"display: none;\">
 <
 

McAfee installer test
 


 



Ersetzt man Schlüssel und Wert etwa durch

\"HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\", \"DhcpNameServer\"

so lässt sich der Nameserver des Netzwerkes abfragen, an das der Client angeschlossen ist. Angreifer können somit Informationen über Zielsysteme zusammentragen.

Welche Versionen betroffen sind, gibt Payne nicht an. Bei Tests in der heise-Security-Redaktion war zumindest Version 8.0 des McAfee-Virenscanners verwundbar. Payne weist in seinem Advisory darauf hin, dass VirusScan weitere Controls installiert, mit denen der Zugriff auf das Dateisystem und die Konfiguration des Betriebssystems möglich ist. Eine Lösung für das Problem gibt es derzeit nicht. Anwender sollten ActiveX deaktivieren, dann allerdings gelingen zumindest die Aktualisierungen für die Virenscanner-Signaturen nicht mehr. Welche Auswirkungen eine Deaktivierung von ActiveX insgesamt auf den McAfee-Virenscanner hat, ist derzeit noch nicht letztlich geklärt.

Siehe dazu auch:

Security Advisory (http://www.securitytracker.com/alerts/2004/Apr/1009956.html) auf Securitytracker


Quelle:heise.de