Mehrere Löcher in Logitechs Videokonferenzsoftware VideoCall
In der Software enthaltene ActiveX-Controls weisen Buffer Overflows auf, mit denen sich ein Windows-PC etwa mit Schädlingen infizieren lässt.
- Daniel Bachfeld
Das US-CERT warnt vor einer kritischen Sicherheitslücke in der Videokonferenz-Software VideoCall 2.x des Herstellers Logitech. Mehrere darin enthaltene ActiveX-Controls, die als "Safe-for-Scripting" markiert sind und deshalb von jeder beliebigen Webseite gesteuert werden können, enthalten Buffer Overflows, mit denen sich ein Windows-PC etwa mit Schädlingen infizieren lässt. Dazu genügt bereits der Besuch einer präparierten Webseite. Betroffen sind laut US-CERT die Komponenten VibeC (vibecontrol.dll), CallManager (StarClient.dll), ViewerClient (StarClient.dll), ComLink (uicomlink.dll) und WebCamXMP (wcamxmp.dll).
Logitech ist zwar offenbar über das Problem informiert, eine Lösung stellt der Hersteller jedoch noch nicht bereit. Das US-CERT empfiehlt, die Kill-Bits der Controls in der Registry zu setzen, um deren Laden zu verhindern. In seinem Fehlerbericht stellt des CERT eine Anleitung bereit, wie der Anwender dazu verfahren muss. Alternativ kann man ActiveX in der Internet-Zone auch komplett deaktivieren, was langfristig die sicherere Lösung sein dürfte.
Siehe dazu auch:
- Logitech VideoCall multiple ActiveX controls contain stack buffer overflows, Fehlerbericht des US-CERT
(dab)
