0-Days in Novell Client für Windows

Wer noch den Novell Client für Windows einsetzt, sollte sich langsam nach Alternativen umsehen. In den letzten Wochen sind mindestens zwei Zero-Day-Exploits für dessen Kernel-Treiber im Internet aufgetaucht; die Sicherheitsfirma eEye führt sie unter den IDs 20130510 und 20130522.

Die erste Lücke bezieht sich demnach auf den alten Novell Client 4.91 SP5 IR1 für Windows XP/2003; die zweite betrifft Novell Client 2 SP3 für Windows 7 und Windows 8. Beide sind zwar nur von lokalen Nutzern einsetzbar, bescheren dem aber dann gleich Code-Ausführung mit Kernel-Rechten. Es gibt bisher anscheinend weder Patches noch brauchbare Workarounds.

Update 25.5.2013, 00:05: Versionsinformationen ergänzt und Link korrigiert. (ju)