Jump to content


This is a ready-only archive of the InstallSite Forum. You cannot post any new content here. / Dies ist ein Archiv des InstallSite Forums. Hier können keine neuen Beiträge veröffentlicht werden.
Photo

Sicherheitslücken in InstallShield Dateien


2 replies to this topic

Stefan Krueger

Stefan Krueger

    InstallSite.org

  • Administrators
  • 13,269 posts

Posted 27 February 2007 - 12:31

In zwei ActiveX Controls und einem Netscape Plug-In, die InstallShield/Macrovision-Produkte auf den Computern von Endbenutzern installieren, wurden kritische Sicherheitslücken gemeldet. Die betroffenen Produkte sind:

FLEXnet Connect / InstallShield Update Service
Das InstallShield Update Service Web Agent ActiveX Control enthält einen Pufferüberlauf, der es einem Angreifer ermöglichen könnte, beliebigen Code auf dem betroffenen Computer auszuführen. (InstallShield Update Service heisst jetzt FLEXnet Connect)
Sicherheitsmeldung im Detail

InstallFromTheWeb
Das InstallShield InstallFromTheWeb ActiveX Control und das Netscape Plug-In enthalten beide mehrere Pufferüberläufe, die es einem Angreifer ermöglichen könnten, beliebigen Code auf dem betroffenen Computer auszuführen.
Sicherheitsmeldung im Detail

Es wird berichtet, dass die Sicherheitslücken ausgenutzt werden können, um beliebigen Code auf der angegriffenen Maschine auszuführen, wenn das Opfer eine entsprechend präparierte Webseite besucht oder einen E-Mail-Anhang öffnet.
Die einzige zur Zeit verfügbare Lösung ist das setzen des Kill-Bits für die betroffenen ActiveX Controls bzw. das Löschen des Netscape Plug-Ins, wie in den Berichten beschrieben.

Bezüglich InstallFromTheWeb vertritt Macrovision folgende Position:

InstallFromTheWeb ist ein überholtes Produkt von Macrovision. Dieses Produkt hat bereits sein Lebensende überschritten und wird deshalb nicht mehr von Macrovision unterstützt.
Wir empfehlen, dass - wo sinnvoll - alle IFTW Kunden die aktuelle Version von InstallShield, InstallShield 12, verwenden anstatt InstallFromTheWeb. InstallShield 12 ist nicht von dieser Sicherheitslücke betroffen.


[Update] InstallFromTheWeb wurde von 1997 bis Anfang 2000 als Produkt verkauft. Danach wurde es durch One-Click Installs (OCI) in InstallShield Professional 6.2 ersetzt.

[Update] Ein Update für FLEXnet Connect wird zur Zeit getestet und soll in den nächsten Tagen veröffentlicht werden.

Stefan Krueger

Stefan Krueger

    InstallSite.org

  • Administrators
  • 13,269 posts

Posted 27 February 2007 - 14:47

Aktualisierte Informationen über IFTW und FLEXnet Connect.

Stefan Krueger

Stefan Krueger

    InstallSite.org

  • Administrators
  • 13,269 posts

Posted 05 March 2007 - 19:15

Macrovision hat heute einen Patch veröffentlicht um das Problem in Version 6.0 des FLEXnet Connect Windows Agent zu beheben. Der Java Agent ist nicht betroffen. Es wird empfohlen, dieses Update so schnell wie möglich bei den Endkunden zu installieren. FLEXnet Connect Kunden haben eine Anleitung per E-Mail erhalten.