dedie
In den VirusScan-Enterprise- und Common-Management-Agent-Produkten (CMA) von McAfee wurden Sicherheitslücken entdeckt, durch die eingeschränkte Nutzer ihre Rechte auf dem System ausweiten könnten. McAfee stellt Updates für die Produkte bereit, die das Problem beseitigen. Bei einem Update wird auch gleich eine weitere Lücke geschlossen, die im McAfee-Sicherheits-Center das Einschleusen und Ausführen von Code erlaubt.
VirusScan-Enterprise-8.0i(Patch 11) und Common-Management-Agent-3.5(Patch 5) starten den Prozess naPrdMgr.exe, der mit Systemrechten läuft. Dieser ruft die Datei \Program Files\Network Associates\VirusScan\EntVUtil.EXE auf englischsprachigen Systemen auf, ohne den Pfad in Anführungszeichen zu setzen. Dadurch wird das Leerzeichen im Pfad als Trennzeichen für beispielsweise Optionen interpretiert: Das System testet erst das Vorhandensein von \Program.exe, anschließend \Program Files\Network.exe und startet diese, sofern sie existieren. Auf deutschen Systemen wird in der Standardinstallation nur die Datei \Programme\Network.exe gesucht. Gelingt es einem Angreifer, diese Datei anzulegen, kann er sie mit Administratorrechten ausführen lassen.
Dies könnte eine weiterer Fehler im Sicherheits-Center diverser McAfee-Produkte ermöglichen. Es nutzt das ActiveX-Control MCINSCTL.DLL, um ein Object mit dem Namen MCINSTALL.McLog zu erzeugen, das eigentlich dazu gedacht ist, Installationsvorgänge durch das Sicherheits-Center in Dateien zu protokollieren. Da McAfee jedoch den Objekt-Zugriff auf bestimmte Zonen oder Seiten nicht über die IObjectSafetySiteLock()-API beschränkt, könnte eine böswillige Webseite dieses Objekt instanziieren und beispielsweise im Autostart-Ordner beliebige Dateien anlegen, die beim nächsten Neustart des Rechners ausgeführt werden.
Nutzern dieser McAfee-Produkte ist ein Update anzuraten, sofern dies nicht schon automatisch eingespielt wurde.
QUELLE
VirusScan-Enterprise-8.0i(Patch 11) und Common-Management-Agent-3.5(Patch 5) starten den Prozess naPrdMgr.exe, der mit Systemrechten läuft. Dieser ruft die Datei \Program Files\Network Associates\VirusScan\EntVUtil.EXE auf englischsprachigen Systemen auf, ohne den Pfad in Anführungszeichen zu setzen. Dadurch wird das Leerzeichen im Pfad als Trennzeichen für beispielsweise Optionen interpretiert: Das System testet erst das Vorhandensein von \Program.exe, anschließend \Program Files\Network.exe und startet diese, sofern sie existieren. Auf deutschen Systemen wird in der Standardinstallation nur die Datei \Programme\Network.exe gesucht. Gelingt es einem Angreifer, diese Datei anzulegen, kann er sie mit Administratorrechten ausführen lassen.
Dies könnte eine weiterer Fehler im Sicherheits-Center diverser McAfee-Produkte ermöglichen. Es nutzt das ActiveX-Control MCINSCTL.DLL, um ein Object mit dem Namen MCINSTALL.McLog zu erzeugen, das eigentlich dazu gedacht ist, Installationsvorgänge durch das Sicherheits-Center in Dateien zu protokollieren. Da McAfee jedoch den Objekt-Zugriff auf bestimmte Zonen oder Seiten nicht über die IObjectSafetySiteLock()-API beschränkt, könnte eine böswillige Webseite dieses Objekt instanziieren und beispielsweise im Autostart-Ordner beliebige Dateien anlegen, die beim nächsten Neustart des Rechners ausgeführt werden.
Nutzern dieser McAfee-Produkte ist ein Update anzuraten, sofern dies nicht schon automatisch eingespielt wurde.
QUELLE
)
is' scho'n paar Tage her.