Der FLEXnet Connect Client (und frühere Versionen unter dem Namen InstallShield Update Service) kann bei der Suche nach Updates auch Skripts herunterladen und ausführen. Das Problem ist, dass diese Skripts per HTTP heruntergeladen werden. Deshalb ist keine Verifzierung des Servers möglich und die Skripts werden nicht verschlüsselt. Dies kann es einem Angreifer ermöglichen, schädliche Skripts auszuführen, etwa indem er die Verbindung über einen Proxy oder mittels DNS-Angriff umleitet. Bis jetzt gibt es keine Lösung für das Problem, aber der folgende Artikel des US-CERT (United States Computer Emergency Readiness Team) nennt mögliche Workarounds:
Vulnerability Note VU#837092: InstallShield / Macrovision / Acresso FLEXnet Connect insecurely retrieves and executes scripts
This is a ready-only archive of the InstallSite Forum. You cannot post any new content here. / Dies ist ein Archiv des InstallSite Forums. Hier können keine neuen Beiträge veröffentlicht werden.
Sicherheitsproblem in FLEXnet Connect
Started by
Stefan Krueger
, Sep 19 2008 11:18
No replies to this topic
Stefan Krueger
-
- Administrators
- 13,269 posts
InstallSite.org
Posted 19 September 2008 - 11:18
Stefan Krüger
InstallSite.org twitter facebook