Schwachstelle in Disassembler IDA Pro
Durch eine Schwachstelle in IDA Pro, einem von vielen Sicherheitsspezialisten benutzten Disassembler und Debugger, können Angreifer eigenen Code auf einem System ausführen.
In IDA Pro, einem von vielen Sicherheitsspezialisten benutzten Disassembler und Debugger, wurde eine Schwachstelle entdeckt, mit der Angreifer eigenen Code auf einem System ausführen können. Ursache ist ein Buffer Overflow, den zu lange Library-Namen beim Einlesen des Importverzeichnisses für Portable Executables verursachen. Portable Executables (PE) sind ausführbare EXE-Dateien unter Windows in einem besonderen Format, die auf allen Windows-Plattformen lauffähig sind, etwa calc.exe und notepad.exe.
Voraussetzung für einen erfolgreichen Angriff ist, dass das Opfer eine manipulierte PE-Datei öffnet. Obwohl eine derartige Datei normalerweise unter Windows selbst nicht mehr ausführbar ist, will der Sicherheitsdienstleister iDefense einen Weg gefunden haben, sie dennoch ohne Fehler zu starten und manipulierte Library-Namen zu verschleiern. Betroffen sind die Windows- und Linux-Versionen von IDA Pro 4.6 SP1 und 4.7, wahrscheinlich auch vorhergehende. Der Hersteller hat einen Patch zur Verfügung gestellt.
Als Workaround sollten Anwender vor dem Öffnen einer Datei die PE-Import-Tabellen mit anderen Tools auf zu lange Zeichenketten untersuchen. Allerdings hilft dies nicht in allen Fällen. iDefense weist in seinem Advisory darauf hin, dass auch andere Anwendungen zur Analyse von PEs verwundbar sein könnten. Das freie Tool PEiD soll solch ein Kandidat sein.
Siehe dazu auch: (dab)
