[MS/Norton Internet Firewall] Pufferüberlaufschwachstelle in Norton Personal Firewall
(2002-07-17 14:23:32.343097+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2002/07/msg00163.htmlVerschiedene "Personal Firewalls" wie Symantec Norton Internet Security 2001, Symantec Norton Personal Firewall 2001 und AtGuard 3.2 weisen eine Pufferüberlaufschwachstelle bei der Verarbeitung von ausgehenden HTTP-Anfragen auf.
Betroffene Systeme
- Symantec Norton Internet Security 2001
- Symantec Norton Personal Firewall 2001
- AtGuard v.3.2
Nicht betroffene Systeme
- Norton Personal Firewall 2002
- Norton Internet Security 2002
- Norton Internet Security 2002 Professional Edition
Einfallstor
Ausgehende HTTP-Anfrage, ausgelöst beispielsweise durch böswillige Webseiten oder HTML-Nachrichten.
Auswirkung
- Denial of Service (DoS)
- Möglicherweise kann beliebiger Programmcode mit den Privilegien der Anwendung (oftmals
SYSTEM-Privilegien) ausgeführt werden.
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
mittel bis sehr hoch (insbesondere falls die Ausführung von beliebigem Programmcode z.B. mittels eines arglistigen Java-Applets möglich sein sollte)
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Mehrere "Personal Firewalls" weisen eine Pufferüberlaufschwachstelle bei der Verarbeitung von ausgehenden HTTP-Verbindungen auf, wodurch die ersten drei Byte des EDI-Registers überschrieben werden können. Die Ausnützung dieser Schwachstelle erfordert eine ausgehende HTTP-Verbindung, d.h. ein Angreifer muss bereits Zugriff aus das System besitzen bzw. sein Opfer dazu bringen bösartigen Programmcode auszuführen. Dies kann auch ohne bewußte Aktion des Benutzers, beispielsweise durch bösartige Webseiten mit Java-Applets oder durch einen E-Mail-Wurm erfolgen.
Die Schwachstelle kann unabhängig davon, ob eine Filterregel die ausgehende HTTP-Verbindung erlaubt oder nicht, ausgenutzt werden.
Durch das willkürliche Überschreiben des Puffers resultiert ein General Protection Fault (GPF), der einen Neustart des Systems erfordert.
Gegenmaßnahmen
Symantec wird ein Update über "LiveUpdate" zur Verfügung stellen.
Vulnerability ID
Weitere Information zu diesem Thema
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=888