You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-952

[MS/Visual FoxPro 6.0] Ausführung von beliebigem Programmcode möglich
(2002-09-05 13:46:05.601943+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/ms/2002/09/msg00000.html

Arglistige Webseiten, HTML-E-Mails bzw. Newsgruppenartikel können Visual FoxPro starten und darüber beliebigen Programmcode ausführen.

Betroffene Systeme

  • Microsoft Visual FoxPro 6.0
  • Produkte, die die Visual FoxPro 6.0 Runtime installieren

Nicht betroffene Produkte

  • Microsoft Visual FoxPro 7.0

Einfallstor
Arglistige Webseite, HTML-E-Mail bzw. Newsgruppenartikel

Auswirkung
Starten von Visual FoxPro und darüber Ausführung von beliebigem Programmcode mit den Privilegien des Benutzers.

Typ der Verwundbarkeit
Fehlerhafte Verknüpfung mit .app-Dateien im Internet Explorer sowie nicht näher beschriebene Programmcodefehler.

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Visual FoxPro ist ein Objekt-orientiertes Datenbank-Management-System, welches die Entwicklung von Datenbanklösungen ermöglicht.

Beschreibung
Durch eine Schwachstelle können arglistige Webseiten, HTML-E-Mails bzw. Newsgruppenartikel Visual FoxPro starten und Applikation (z.B. eine .app-Datei) ausführen. Betroffen sind Systeme, auf denen Visual FoxPro 6.0 bzw. die Visual FoxPro Runtime installiert wurde. Die Visual FoxPro Runtime wird möglicherweise mit Produkten von Drittherstellern ausgeliefert (dem RUS-CERT sind derzeit keine Produkte bekannt, bei denen die verwundbare Runtime mitgeliefert wird).

Feststellen der Verwundbarkeit
Die Existenz folgender Dateien läßt auf ein verwundbares System schließen, da die Visual FoxPro Runtime installiert wurde:

  • vfp6r.dll
  • vfp6t.dll
  • vfp6run.exe

Gegenmaßnahmen
Microsoft stellt einen Patch zur Verfügung:

Vulnerability ID

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.