Unsichere ActiveX-Komponente WeOnlyDo!-SFTP
Das ActiveX-Control WeOnlyDO!-SFTP wird bei der Installation als "safe for scripting" gekennzeichnet, wodurch Angreifer mit präparierten Webseiten beliebige Dateien auf betroffene Systeme hochladen oder von dort ins Netz schicken könnten.
Das US-amerikanische CERT meldet eine Schwachstelle im ActiveX-Control WeOnlyDO!-SFTP (wodSFTP). Das ActiveX-Control dient dazu, Windows-Anwendungen einen einfachen Zugriff auf SFTP-Server zu ermöglichen. Der Hersteller kennzeichnet die Komponente bei der Installation als safe for scripting, wodurch Webseiten das Modul einbinden können.
Durch diese Kennzeichnung erlaubt beispielsweise der Internet Explorer, beliebige Parameter bei dem Aufruf des ActiveX-Controls zu übergeben. wodSFTP erlaubt jedoch ohne Nutzerinteraktion, beliebige Dateien auf das lokale System herunterzuladen oder von dort ins Netz zu übertragen.
Eine neue Version von wodSFTP ist noch nicht in Sicht. Als Umgehungsmaßnahme empfiehlt das CERT in seiner Sicherheitsmeldung, das Killbit für wodSFTP zu setzen, indem man im Registrierungseditor den Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6795FA0F-35C3-4BEB-B3AA-F19DB0B228EA}
öffnet und den DWORD-Parameter Compatibility Flags mit dem Wert 0x00000400 anlegt oder den vorhandenen Parameter auf diesen Wert ändert.
Siehe dazu auch: (dmk)
- WeOnlyDo! SFTP ActiveX control fails to properly restrict access to methods, Sicherheitsmeldung des US-CERT
- wodSFTP-Homepage mit Downloads
