Silicon Labs: Software- und Treiber-Installer mit DLL-Injection-Lücken
In zehn Installationsprogrammen von Software und Treibern von Silicon Labs können Angreifer eine DLL-Injection-Schwachstelle missbrauchen.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Silicon Labs stellen insbesondere Schaltkreise für die Anbindung etwa von älteren seriellen Schnittstellen(-protokollen) auf USB her. Die Installationsprogramme für zugehörige Treiber und Software weisen in vielen Fällen eine Sicherheitslücke auf, die das Unterschieben von eigenen Bibliotheken und somit das Einschleusen von eigenem Code ermöglicht.
Eine Zusammenfassung versteckt Silicon Labs hinter einem Log-in. Jedoch sind die CVE-Einträge zu den verwundbaren Produkten öffentlich. Denen zufolge filtern die Installer den Suchpfad nicht ordentlich, was diese sogenannten DLL-Injection-Lücken aufreißt. Das können Angreifer zum Ausweiten ihrer Rechte oder der Ausführung beliebigen Codes beim Start der Installer ausnutzen.
Videos by heise
Insgesamt sind die Installationspakete zu zehn Produkten von Silicon Labs davon betroffen:
- Silicon Labs (8-Bit) IDE (CVE-2024-9490, CVSS 8.6, Risiko "hoch")
- Silicon Labs Configuration Wizard 2 (CVE-2024-9491, CVSS 8.6, hoch)
- Silicon Labs Flash Programming Utility (CVE-2024-9492, CVSS 8.6, hoch)
- Silicon Labs ToolStick (CVE-2024-9493, CVSS 8.6, hoch)
- Silicon Labs CP210 VCP Win 2k (CVE-2024-9494, CVSS 8.6, hoch)
- Silicon Labs CP210x VCP Windows (CVE-2024-9495, CVSS 8.6, hoch)
- Silicon Labs USBXpress Dev Kit (CVE-2024-9496, CVSS 8.6, hoch)
- Silicon Labs USBXpress 4 SDK (CVE-2024-9497, CVSS 8.6, hoch)
- Silicon Labs USBXpress SDK (CVE-2024-9498, CVSS 8.6, hoch)
- Silicon Labs USBXpress Win 98SE Dev Kit (CVE-2024-9499, CVSS 8.6, hoch)
Die Installationsprogramme für veraltete Betriebssysteme, etwa USBXpress, sind in offenbar verwundbaren Versionen auf der Download-Seite von Silicon Labs verfügbar. Wer diese Software noch benötigt, sollte den Support des Unternehmens kontaktieren und um fehlerkorrigierte Installationsprogramme bitten. Bis auf einen universellen Windows-Treiber für die CP210x-VCP-Module sind auch die Installer für die USB-Konverter noch älterem Datums. Gegebenenfalls hilft auch hier, beim Hersteller-Support nach fehlerkorrigierten Installationspaketen zu fragen.
Die bisherigen Installationsprogramme sollten Betroffene auf nicht dauerhaft angebundene Medien wie USB-Sticks auslagern und auf dem Rechner löschen, damit Angreifer sie nicht etwa zum Ausweiten ihrer Rechte missbrauchen können.
DLL-Injection-Lücken treten öfter auf und gefährden die Sicherheit von Systemen. In Kaseyas Unitrend Windows Agent klafften 2021 etwa ebenfalls eine DLL-Injection- und zudem eine Binary-Planting-Lücke, sodass fremder Code unterschiebbar war.
(dmk)
