RUS - CERT Computer Emergency Response Team - Zuständig für die Rechner- und Netzwerksicherheit an der Universität Stuttgart
kontakt sitemap impressum e-mail-abo
home
aktuelle_meldungen
rus-cert-advisories
cve
ticker_abo
top_5
rss
betriebssysteme
themen
dienste
projekte
archive
jobs
Universität Stuttgart
Rechenzentrum
 
 
   

RUS-CERT-Meldung

Nr: RUS-CERT-888

[MS/Norton Internet Firewall] Pufferüberlaufschwachstelle in Norton Personal Firewall
(2002-07-17 16:23:32.343097+02) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/07/msg00163.html

Verschiedene "Personal Firewalls" wie Symantec Norton Internet Security 2001, Symantec Norton Personal Firewall 2001 und AtGuard 3.2 weisen eine Pufferüberlaufschwachstelle bei der Verarbeitung von ausgehenden HTTP-Anfragen auf.

Betroffene Systeme

  • Symantec Norton Internet Security 2001
  • Symantec Norton Personal Firewall 2001
  • AtGuard v.3.2

Nicht betroffene Systeme

  • Norton Personal Firewall 2002
  • Norton Internet Security 2002
  • Norton Internet Security 2002 Professional Edition

Einfallstor
Ausgehende HTTP-Anfrage, ausgelöst beispielsweise durch böswillige Webseiten oder HTML-Nachrichten.

Auswirkung

  • Denial of Service (DoS)
  • Möglicherweise kann beliebiger Programmcode mit den Privilegien der Anwendung (oftmals SYSTEM-Privilegien) ausgeführt werden.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
mittel bis sehr hoch (insbesondere falls die Ausführung von beliebigem Programmcode z.B. mittels eines arglistigen Java-Applets möglich sein sollte)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Mehrere "Personal Firewalls" weisen eine Pufferüberlaufschwachstelle bei der Verarbeitung von ausgehenden HTTP-Verbindungen auf, wodurch die ersten drei Byte des EDI-Registers überschrieben werden können. Die Ausnützung dieser Schwachstelle erfordert eine ausgehende HTTP-Verbindung, d.h. ein Angreifer muss bereits Zugriff aus das System besitzen bzw. sein Opfer dazu bringen bösartigen Programmcode auszuführen. Dies kann auch ohne bewußte Aktion des Benutzers, beispielsweise durch bösartige Webseiten mit Java-Applets oder durch einen E-Mail-Wurm erfolgen.

Die Schwachstelle kann unabhängig davon, ob eine Filterregel die ausgehende HTTP-Verbindung erlaubt oder nicht, ausgenutzt werden.

Durch das willkürliche Überschreiben des Puffers resultiert ein General Protection Fault (GPF), der einen Neustart des Systems erfordert.

Gegenmaßnahmen
Symantec wird ein Update über "LiveUpdate" zur Verfügung stellen.

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2010 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen...Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.

   
2009-07-03