Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1300

[Generic/Sophos] Schwachstelle in der CAB-Dateiverarbeitung
(2006-05-12 12:21:00.491846+00)

Quelle: http://www.sophos.com/support/knowledgebase/article/4934.html

Eine Schwachstelle in den Routinen zum Entpacken von Dateien im Microsoft Cabinet Format (CAB) der Antivirenprodukte von Sophos kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des entsprechenden Sophos-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Neben den diversen Desktop-Produkten sind von dieser Schwachstelle auch die Gateway-Produkte zur Malwarefilterung auf Mailservern betroffen.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Speziell präpariertes CAB-Archiv z.B. als Anhang einer E-Mail

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des Sophos-Prozesses auf dem beherbergenden Rechnersystem
(remote user compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Das Microsoft Cabinet Format (CAB) ist ein spezielles Archiv-Format, das neben den einzelnen Dateien auch Pfadinformation speichert, um so auch einzelne Dateien aus dem Archiv entpacken zu können. Die Dateien werden meist mit dem Suffix .cab versehen und E-Mail-Nachrichten unter dem MIME-Type application/x-cab-compressed angehängt.

Beschreibung
Eine Schwachstelle in den Routinen zum Entpacken von CAB-Archiven der Antivirenprodukte von Sophos kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des entsprechenden Sophos-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Neben den Desktop-Produkten sind von dieser Schwachstelle auch die diversen Gateway-Produkte zur Malwarefilterung auf Mailservern betroffen. Zur Ausnutzung der Schwachstelle ist es ausreichend eine entsprechend präparierte CAB-Datei mit ungültigen "folder count values", z.B. als Anhang an einer E-Mail-Nachricht an ein System zu schicken, das diese mittels einer der verwundbaren Sophos-Versionen auf Malware untersucht.

Gegenmaßnahmen
Es wird dringend empfohlen, die von Sophos bereitgestellten aktualisierten Softwareversionen zu installieren.

Vulnerability ID

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1300