Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-952

[MS/Visual FoxPro 6.0] Ausführung von beliebigem Programmcode möglich
(2002-09-05 13:46:05.601943+00)

Quelle: http://cert.uni-stuttgart.de/archive/ms/2002/09/msg00000.html

Arglistige Webseiten, HTML-E-Mails bzw. Newsgruppenartikel können Visual FoxPro starten und darüber beliebigen Programmcode ausführen.

Betroffene Systeme

Nicht betroffene Produkte

Einfallstor
Arglistige Webseite, HTML-E-Mail bzw. Newsgruppenartikel

Auswirkung
Starten von Visual FoxPro und darüber Ausführung von beliebigem Programmcode mit den Privilegien des Benutzers.

Typ der Verwundbarkeit
Fehlerhafte Verknüpfung mit .app-Dateien im Internet Explorer sowie nicht näher beschriebene Programmcodefehler.

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Visual FoxPro ist ein Objekt-orientiertes Datenbank-Management-System, welches die Entwicklung von Datenbanklösungen ermöglicht.

Beschreibung
Durch eine Schwachstelle können arglistige Webseiten, HTML-E-Mails bzw. Newsgruppenartikel Visual FoxPro starten und Applikation (z.B. eine .app-Datei) ausführen. Betroffen sind Systeme, auf denen Visual FoxPro 6.0 bzw. die Visual FoxPro Runtime installiert wurde. Die Visual FoxPro Runtime wird möglicherweise mit Produkten von Drittherstellern ausgeliefert (dem RUS-CERT sind derzeit keine Produkte bekannt, bei denen die verwundbare Runtime mitgeliefert wird).

Feststellen der Verwundbarkeit
Die Existenz folgender Dateien läßt auf ein verwundbares System schließen, da die Visual FoxPro Runtime installiert wurde:

Gegenmaßnahmen
Microsoft stellt einen Patch zur Verfügung:

Vulnerability ID

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=952