VulDB: Symantec Security Check RuFSI ActiveX Control online Pufferüberlauf
Allgemein
scipID: 117
Betroffen: Symantec Security Check Service ActiveX
Veröffentlicht: 22.06.2003 (Cesar Cerrudo)
Risiko: 
problematisch
Beschreibung
Symantec bietet auf Ihrer Webseite einen freien Online Antiviren und Security Check an. Um die jeweiligen Scans durchzuführen, werden ActiveX-Elemente heruntergeladen und ausgeführt. Eines der installierten ActiveX-Plugins nennt sich "Symantec RuFSI Utility Class" oder "Symantec RuFSI Registry Information Class" und wird anscheinend für das Sammeln der wichtigen Systemdaten verwendet. Wird eine überlange Zeichenkette an eine der CompareVersionStrings Variablen geliefert, kann ein Pufferüberlauf reproduziert werden. Da das ActiveX-Element als "sicher" eingestuft wird, ist es einem Angreifer möglich, beliebigen Programmcode mit den Rechten des Surfers ausführen zu lassen. Um sich des verwundbaren ActiveX-Plugins zu entledigen, kann die Registry editiert und der entsprechende Eintrag unter %SystemRoot%Downloaded Program Files gelöscht werden. Wie zu erwarten war, hat Symantec rund einen Tag später den Fehler behoben, wie unter anderem Heise.de in ihrem Newsticker berichtet hat. Symantec hat Tags darauf zudem ein Statement zu diesem Vorfall auf Bugtraq gepostet.
Diese Schwachstelle ist in der Tat ein bisschen sonderbar, denn wer hätte vermuten können, dass das ActiveX-Element eines Online Security Scanners einen Pufferüblauf haben könnte, den man ausnutzen kann. Wer sich Sorgen um sein System macht, sollte in der Zwischenzeit das verwundbare ActiveX-Plugin in der Registry löschen. Symantec wurde zeitgleich mit dem Posting auf der Mailingliste Full-Disclosure über das Problem informiert.
Exploiting
Klasse: Pufferüberlauf
Lokal: Indirekt
Remote: Ja
Exploit: http://lists.netsys.com/pipermail/full-disclosure/2003-June/010692.html
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: –
Massnahme: Kein Zutun durch den Anwender erforderlich. Der Fehler wurde durch den Hersteller behoben.
Link: http://www.heise.de/newsticker/data/dab-24.06.03-000/
Snort: 4174 (WEB-ACTIVEX Symantec RuFSI registry Information Class ActiveX Object Access)
Pattern: 69DEAF94-AF66-11D3-BEC0-00105AA9B6AE
Quellen
Advisory: http://lists.netsys.com/pipermail/full-disclosure/2003-June/010692.html
CVE: CVE-2003-0470
OSVDB: –
Securityfocus: 8008
Secunia: 9091
X-Force: 12423
Securitytracker: 1007029
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Andere: http://www.heise.de/security/artikel/38136
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
