[EDragon]

McAfee VirusScan installiert unsichere ActiveX-Controls

McAfees Virenscanner VirusScan installiert auf Windows-Systemen unsichere ActiveX-Controls, mit denen Angreifer Zugriff auf die Registry erhalten und beliebige Schlüssel auslesen können. Dazu reicht es aus, dass ein Opfer mit dem Internet Explorer 6 -- und den Standard-Sicherheitseinstellungen -- ein HTML-Dokument aufruft, in dem entspechender Scripting-Code enhalten ist. Jonathan Payne, Entdecker der Lücke, hat dazu folgenden Code veröffentlicht, der zu Demonstrationszwecken Informationen zum Desktop-Hintergrundbild ausgibt:

<html>
<object classid="clsid:4C29D864-C55A-46DD-865C-17A1B7CC1A1A" id="gobjReg"
style="display: none;">
<
<h1>McAfee installer test



<script language="vbscript"> document.write( _ gobjReg.RegQueryValue( "HKCU\Control Panel\Desktop", "Wallpaper") _ ) </script> </html>

Ersetzt man Schlüssel und Wert etwa durch

"HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters", "DhcpNameServer"

so lässt sich der Nameserver des Netzwerkes abfragen, an das der Client angeschlossen ist. Angreifer können somit Informationen über Zielsysteme zusammentragen.

Welche Versionen betroffen sind, gibt Payne nicht an. Bei Tests in der heise-Security-Redaktion war zumindest Version 8.0 des McAfee-Virenscanners verwundbar. Payne weist in seinem Advisory darauf hin, dass VirusScan weitere Controls installiert, mit denen der Zugriff auf das Dateisystem und die Konfiguration des Betriebssystems möglich ist. Eine Lösung für das Problem gibt es derzeit nicht. Anwender sollten ActiveX deaktivieren, dann allerdings gelingen zumindest die Aktualisierungen für die Virenscanner-Signaturen nicht mehr. Welche Auswirkungen eine Deaktivierung von ActiveX insgesamt auf den McAfee-Virenscanner hat, ist derzeit noch nicht letztlich geklärt.*

Quelle: Heise


*Ein "Virenscanner" der auf ActiveX angewiesen ist, sollte niemals installiert werden (Anm. EDragon).

[Rika]

ActiveX=COM+=90% von Windows seit Windows 2000
Das eigentliche Problem ist, daß ActiveX im Internet nix zu suchen hat. Also ActiveX im IE abschalten und/oder einen alternativen Browser verwenden, der solche Faxen nicht mitmacht.
McAfee's einziger Fehler war, nicht vor dem IE&ActiveX-Problem zu warnen.

[EDragon]

Zitat (Rika: 28.04.2004, 15:28)

Also ActiveX im IE abschalten und/oder einen alternativen Browser verwenden, der solche Faxen nicht mitmacht.
McAfee's einziger Fehler war, nicht vor dem IE&ActiveX-Problem zu warnen.

Klar, aber der Affe läuft ohne ActiveX (also in den IE Zonen deaktiviert) gar nicht. Außerdem zeigen andere Hersteller doch wohl, dass AX (gerade bei einem Virenscanner) überhaupt nicht benötigt wird.

[Rika]

1. Er läuft genau dann, wenn signierte ActiveX-Control in der Sichertheitszone "Internet" erlaubt sind. So ziemlihc das zweitschlimmste, was man sich vorstellen kann.
2. Nicht ActiveX, aber ActiveX-Controls sind unnötig.

Aber hast schon recht, das ist alles ein guter grund, auch McAfee nicht vertrauen. Hinzu kommt ja noch, daß das Control Center einem ständig die Personal Firewall und das Antispam-Programm aus dem gleichen Hause anpreist, um einen "Security-Index" von 10 zu bekommen.

Tatsächlich stellt aber bei Nichtbenutzung des IE das ActiveX-Control eigentlich kein sicherheitsrelevatnes Problem dar, allenfalls ein kosmetisches.

Dieser Beitrag wurde von Rika bearbeitet: 28. April 2004 - 14:57

[EDragon]

Rika sagte:

2. Nicht ActiveX, aber ActiveX-Controls sind unnötig.

Meinte ich doch so....

Rika sagte:

Hinzu kommt ja noch, daß das Control Center einem ständig die Personal Firewall und das Antispam-Programm aus dem gleichen Hause anpreist, um einen "Security-Index" von 10 zu bekommen

Ja, dass ist richtig zum würgen.

Rika sagte:

Tatsächlich stellt aber bei Nichtbenutzung des IE das ActiveX-Control eigentlich kein sicherheitsrelevatnes Problem dar, allenfalls ein kosmetisches.

Da man aber nicht weiß was da so noch auftaucht und es zum Betrieb doch gar nicht notwendig ist, rate ich immer noch zum Kompletten abschalten.

Dieser Beitrag wurde von EDragon bearbeitet: 28. April 2004 - 15:12