RCE-Schwachstelle in F-Secure Windows Endpoint Protection

Der Anbieter F-Secure hat eine Remote Code Execution (FSC-2018-2) in seinen Windows Endpoint Protection-Produkten geschlossen. Der Fehler tritt mal wieder beim Entpacken von RAR-Archiven auf.


Anzeige

In einem Security Advisory weist F-Secure darauf hin, dass ein Fehler bei der Speicherbehandlung in der Dateiscanner-Implementierung von F-Secure zur Remotecodeausführung in F-Secure Windows-Endpunkt-Schutzprodukten führen konnte. Ergänzung: Aufgedeckt hat den Fehler wohl der Betreiber des landave-Blogs (der auch schon Fehler in 7-Zip dokumentierte).

Der Bug betrifft die meisten F-Secure Windows Endpoint Protection-Produkte und ermöglicht bösartig erstellten RAR-Archiven beim Scannen die Ausführung von beliebigem Code. Die Sicherheitslücke kann sowohl lokal für die Privilegienerweiterung als auch remote ausgenutzt werden, wenn der lokale Benutzer dazu gebracht wird, ein bösartiges Archiv herunterzuladen. Ein erfolgreicher Angriff führt dazu, dass der Angreifer die volle Kontrolle über das System erlangt. Dieser RCE-Fehler (Remote Code Execution) wird als kritisch eingestuft. Betroffen sind folgende Produkte für Windows:

  • F-Secure Client Security
  • F-Secure Client Security Premium
  • F-Secure Server Security
  • F-Secure Server Security Premium
  • F-Secure PSB Server Security
  • F-Secure Email and Server Security
  • F-Secure Email and Server Security Premium
  • F-Secure PSB Email and Server Security
  • F-Secure PSB Workstation Security
  • F-Secure Computer Protection
  • F-Secure Computer Protection Premium

Der Bug und ein Proof-of-Concept-Exploit wurden F-Secure als Teil des Vulnerability Reward Program gemeldet. Es wurden keine bekannten Angriffe in freier Wildbahn gemeldet oder beobachtet. F-Secure hat bereits Updates bereitgestellt, die das Problem durch die automatischen Update-Mechanismen der Produkte beheben. Nur wenn die automatischen Updates explizit deaktiviert wurden, müssen Benutzer eine Aktualisierung manuell auslösen. Vor der erfolgreichen Nutzung ist eine Benutzerinteraktion erforderlich. Die Produkteinstellung “Scannen in komprimierten Dateien (zip, arj, lzh, ….)” muss aktiviert sein, um den Archiv-Scan auszulösen.

Bei den Produkten F-Secure Email and Server Security, F-Secure Email and Server Security Premium und F-Secure PSB Email Security wird die anfällige Komponente nicht verwendet. Die Produkte von F-Secure für Linux und Mac sind von diesem Problem nicht betroffen. Weitere Details finden sich hier – sowie bei Bleeping Computer. (via)


Anzeige


Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.