ActiveX-Control von eBay macht Windows-PCs verwundbar [Update]

Das US-CERT warnt vor einer kritischen Lücke im eBay Enhanced Picture Services, der zum Hochladen von Bildern in Auktionen dient. eBay stellt für diesen Dienst ein ActiveX-Control für den Internet Explorer zur Verfügung. Dem Fehlerbericht zufolge lässt sich allerdings ein Buffer Overflow in diesem Control von Angreifern ausnutzen, um über das Netz Code auf den Rechner zu laden und auszuführen. Allerdings muss das Opfer eine präparierte Webseite oder ein HTML-Dokument aufrufen, das diese Lücke ausnutzt.

Das betroffene Control EPUImageControl (EUPWALcontrol.dll) ist nach Angaben des US-CERT im Lieferumfang von "Sell Your Item (SYI)", "Setup & Test eBay Enhanced Picture Services" und "Picture Manager Enhanced Uploader" enthalten. Ob auch deutsche eBay-Anwender das fehlerhafte Control auf ihren Rechnern haben, etwa durch Nutzung des ebay Bildermanagers, ist unklar. eBay Deutschland konnte auch nach diversen Anfragen keine Antwort geben.

Zumindest gibt eBay USA den Anwendern eine Anleitung an die Hand, wie diese feststellen können, ob das betroffene Control auf dem Rechner ist: Der Internet Explorer zeigt unter Extras/Internetoptionen/Temporäre Internetdateien/Einstellungen/Objekte Anzeigen die installierten Controls an. Ist dort EPUImageControl Class zu finden, hat der Anwender unter Umständen ein Problem. eBay hat zwar eine neue Version des Control zu Verfügung gestellt, es wird jedoch nur bei Nutzung des Bilderdienstes auf eBay zur Aktualisierung angeboten. Wer sich des Controls ganz entledigen will, löscht es einfach.

Update
Nach Angaben von eBay Deutschland war der eBay Bildermanager ebenfalls von dem Problem betroffen. Auch dort sei der Fehler bereits behoben worden.

Siehe dazu auch: (dab)

• eBay Enhanced Picture Services ActiveX control buffer overflow,Vulnerability Note VU#597721 von US-CERT