- Registriert
- 5 Feb. 2004
- Beiträge
- 3.404
Quelle: http://www.heise.de/newsticker/meldung/94429
Automated Solutions von IBM/Lenovo reißen Sicherheitsleck auf Meldung vorlesen
Die Automated Solutions von IBM/Lenovo, die zum Aufspüren und Beseitigen von Problemen beispielsweise mit Netzwerkverbindungen oder Druckern sowie zur Systemoptimierung dienen, reißen eine Sicherheitslücke auf. Die Software installiert ein ActiveX-Modul mit Schwachstellen, wodurch Angreifer mit präparierten Webseiten fremden Code einschleusen und ausführen können. Ein Update zum Beheben des Problems ist verfügbar.
Das US-CERT hat mehrere Sicherheitslücken in der ActiveX-Komponente acpRunner gemeldet, die von der Bibliothek AcpController.dll bereitgestellt wird. Sie dient zum Herunterladen, Entpacken und Ausführen von Software. acpRunner überprüft digitale Signaturen von heruntergeladener Software nicht korrekt, wodurch Angreifer beliebigen Programmcode auf den Rechner herunterladen können. Außerdem enthält das Modul eine so genannte Format-String-Schwachstelle, die Angreifer mit präparierten Aufrufparametern in Webseiten zur Ausführung fremden Codes ausnutzen können. Da das Modul die Domain nicht überprüft, von der die Software stammt, können bösartige Individuen die Lücken auf beliebigen Webseiten missbrauchen.
IBM/Lenovo hat das Fix-Pack 1 zum Download bereitgestellt, das die Fehler behebt. Es aktualisiert die Dateien acpcontroller.dll auf Version 1.2.8.0 sowie acpir.dll auf Version 1.0.0.9; welche Schwachstellen in der letzten Datei behoben werden, schreibt IBM/Lenovo nicht. Nutzer der Automated Solutions sollten das Update zügig herunterladen und installieren.
Andy
Automated Solutions von IBM/Lenovo reißen Sicherheitsleck auf Meldung vorlesen
Die Automated Solutions von IBM/Lenovo, die zum Aufspüren und Beseitigen von Problemen beispielsweise mit Netzwerkverbindungen oder Druckern sowie zur Systemoptimierung dienen, reißen eine Sicherheitslücke auf. Die Software installiert ein ActiveX-Modul mit Schwachstellen, wodurch Angreifer mit präparierten Webseiten fremden Code einschleusen und ausführen können. Ein Update zum Beheben des Problems ist verfügbar.
Das US-CERT hat mehrere Sicherheitslücken in der ActiveX-Komponente acpRunner gemeldet, die von der Bibliothek AcpController.dll bereitgestellt wird. Sie dient zum Herunterladen, Entpacken und Ausführen von Software. acpRunner überprüft digitale Signaturen von heruntergeladener Software nicht korrekt, wodurch Angreifer beliebigen Programmcode auf den Rechner herunterladen können. Außerdem enthält das Modul eine so genannte Format-String-Schwachstelle, die Angreifer mit präparierten Aufrufparametern in Webseiten zur Ausführung fremden Codes ausnutzen können. Da das Modul die Domain nicht überprüft, von der die Software stammt, können bösartige Individuen die Lücken auf beliebigen Webseiten missbrauchen.
IBM/Lenovo hat das Fix-Pack 1 zum Download bereitgestellt, das die Fehler behebt. Es aktualisiert die Dateien acpcontroller.dll auf Version 1.2.8.0 sowie acpir.dll auf Version 1.0.0.9; welche Schwachstellen in der letzten Datei behoben werden, schreibt IBM/Lenovo nicht. Nutzer der Automated Solutions sollten das Update zügig herunterladen und installieren.
Andy
