[Rika]

http://www.heise.de/...s/meldung/44786

ZoneLabs meldet einen Fehler in der Personal Firewall ZoneAlarm, durch den Angreifer beliebigen Code ausführen können. Der Fehler tritt aber nur auf, wenn auf dem betroffenen System ein SMTP-Server läuft, was normalerweise nicht der Fall sein sollte. Im Advisory zur Sicherheitslücke rät ZoneLabs explizit davon ab, ZoneAlarm zur Absicherung von Serversystemen zu verwenden.

ZoneAlarm benutzt das SMTP-Protokoll für verschiedene Sicherheitsfunktionen; durch einen ungeprüften Puffer im SMTP-Processing könnte ein Angreifer das System lahm legen oder sogar beliebigen Code ausführen. Das wäre zum Beispiel möglich, wenn ein vom Anwender erlaubtes Programm auf dem SMTP-Port lauscht und Pakete entgegennimmt. Der Fehler betrifft ZoneAlarm und ZoneAlarm Pro, Anwender sollten auf die aktuelle Version 4.5.538.001 aktualisieren, bei der das Problem nicht mehr auftritt.


Nein, es geht mir jetzt nicht um Desktopfirewalls, sondern um ein kleines Detail der Meldung: Fast jeder Mailwurm kommt ja mit seiner eigenen SMTP-Engine, daher ist die Formulierung "normalerweise" recht dehnbar.Man sollte daher davon ausgehen, dass dieser Fehler sehr weit verbreitet ist und großflächig ausgenutzt werden kann.

[Rika]

Und noch mehr - Thor Larholm von PivX Solutions schreibt folgendes:

PivX Solutions is aware of a new CHM exploit that can be utilized through
Internet Explorer. This exploit is currently circulating in the wild on
compromised sites and allows delivery and execution of an EXE file. There is
no currently available patch.

[...]

Further, we recommend that you rename the following registry key if possible

HKEY_CLASSES_ROOT\PROTOCOLS\Handler\ms-its



Mal wieder eine ungepatchte Sicherheitslücke im IE, für die zum Glück ein Work-Around existiert. Offensichtlich hat Microsoft aus den bisherigen Sicherheitslücken mit CHM-Hilfedateien im IE nix gelernt - obwohl sie genau diesen Part seit dem SP1 schon 10 mal gepatcht haben und unter normalen Umständen schon gar nicht mehr verwendet werden kann.

[MDK]

Rika du übergehst da nur eins, Viruse haben zwar wie es immer so schön heißt eine SMTP-Engine, gemeint ist aber nur ein SMTP Client (senden per smtp und evtl noch abholen über pop)damit.

Aber ein SMTP Server ist das nicht, ist ja nicht so, dass der Wurm auf Port 25 lauscht und auf ein HELO wartet :-)

[Rika]

Der Fehler trifft nicht nur auf, wenn SMTP empfangen wird, sondern auch, wenn mit SMTP gesendet wird - aber normalerweise kommen von innen ja keine gefährdenden SMTP-Anfragen. Es sei denn, es läuft Malware. Und womit versenden denn Würmer eMails? Womit versenden denn Mailserver eMails? Mit SMTP!

(Und ferner ist das mal wieder ein Beispiel dafür, dass DTFs viel potentiell fehlerhaften Code ins System bringen und damit das System erst gefährdet machen.)

Dieser Beitrag wurde von Rika bearbeitet: 20. Februar 2004 - 10:51

[MDK]

Laut Heise:

Zitat

Das wäre zum Beispiel möglich, wenn ein vom Anwender erlaubtes Programm auf dem SMTP-Port lauscht und Pakete entgegennimmt. Der Fehler betrifft ZoneAlarm und ZoneAlarm Pro, Anwender sollten auf die aktuelle Version 4.5.538.001 aktualisieren, bei der das Problem nicht mehr auftritt.

Nochmal, ich kennen keinen Virus/Wurm, der auf dem 25er lauscht und Mails entgegennimt, denn der müsste das SMTP Protokoll implementieren, nicht nur die Clientseite. Da das aber den Wurm ganz schön aufblähen würde, ist mir keiner bekannt, der Wurm wäre dann keine 50KB mehr groß oder so :-)

Aber oben steht genau annehmen von Mails -> SMTP Server

[Rika]

ZA arbeitet bidirektional, egal wo lang die SMTP-Anfragen gehen, ZA bearbeitet und prüft sie - und wird davon beeinträchtigt. Außerdem muss er doch nicht seinen SMTP-Dienst auf Port 25 anbieten.

BTW, Würmer sind shcon längst im Binärcode weit über 300 KB - aber UPX sei dank macht das nicht viel aus, gepackt kommt kaum einer über 100 KB.

Dieser Beitrag wurde von Rika bearbeitet: 20. Februar 2004 - 11:49