Der Anbieter F-Secure hat eine Remote Code Execution (FSC-2018-2) in seinen Windows Endpoint Protection-Produkten geschlossen. Der Fehler tritt mal wieder beim Entpacken von RAR-Archiven auf.
Anzeige
In einem Security Advisory weist F-Secure darauf hin, dass ein Fehler bei der Speicherbehandlung in der Dateiscanner-Implementierung von F-Secure zur Remotecodeausführung in F-Secure Windows-Endpunkt-Schutzprodukten führen konnte. Ergänzung: Aufgedeckt hat den Fehler wohl der Betreiber des landave-Blogs (der auch schon Fehler in 7-Zip dokumentierte).
Der Bug betrifft die meisten F-Secure Windows Endpoint Protection-Produkte und ermöglicht bösartig erstellten RAR-Archiven beim Scannen die Ausführung von beliebigem Code. Die Sicherheitslücke kann sowohl lokal für die Privilegienerweiterung als auch remote ausgenutzt werden, wenn der lokale Benutzer dazu gebracht wird, ein bösartiges Archiv herunterzuladen. Ein erfolgreicher Angriff führt dazu, dass der Angreifer die volle Kontrolle über das System erlangt. Dieser RCE-Fehler (Remote Code Execution) wird als kritisch eingestuft. Betroffen sind folgende Produkte für Windows:
- F-Secure Client Security
- F-Secure Client Security Premium
- F-Secure Server Security
- F-Secure Server Security Premium
- F-Secure PSB Server Security
- F-Secure Email and Server Security
- F-Secure Email and Server Security Premium
- F-Secure PSB Email and Server Security
- F-Secure PSB Workstation Security
- F-Secure Computer Protection
- F-Secure Computer Protection Premium
Der Bug und ein Proof-of-Concept-Exploit wurden F-Secure als Teil des Vulnerability Reward Program gemeldet. Es wurden keine bekannten Angriffe in freier Wildbahn gemeldet oder beobachtet. F-Secure hat bereits Updates bereitgestellt, die das Problem durch die automatischen Update-Mechanismen der Produkte beheben. Nur wenn die automatischen Updates explizit deaktiviert wurden, müssen Benutzer eine Aktualisierung manuell auslösen. Vor der erfolgreichen Nutzung ist eine Benutzerinteraktion erforderlich. Die Produkteinstellung "Scannen in komprimierten Dateien (zip, arj, lzh, ….)" muss aktiviert sein, um den Archiv-Scan auszulösen.
Bei den Produkten F-Secure Email and Server Security, F-Secure Email and Server Security Premium und F-Secure PSB Email Security wird die anfällige Komponente nicht verwendet. Die Produkte von F-Secure für Linux und Mac sind von diesem Problem nicht betroffen. Weitere Details finden sich hier – sowie bei Bleeping Computer. (via)
Anzeige
Anzeige