Hilfefunktion in Novells ZENworks gewährt System-Rechte
Novell weist auf einen Fehler in ZENworks for Desktops/Remote Management hin, mit dem eingeschränkte Nutzer über die Hilfefunktion an System-Rechte gelangen können.
Novell weist auf einen Fehler in ZENworks for Desktops/Remote Management hin, mit der eingeschränkte Nutzer an System-Rechte gelangen können. Klickt der Anwender auf das Icon des Remote Managements Agents im Infobereich der Statusleiste und wählt dort die Hilfefunktion, so startet Microsofts HTML-Helper. Innerhalb der Kontrollbox ist es dann laut Advisory von Novell möglich, über die Option "jump to URL" auch lokale Dateien im Kontext des ZENworks-Agents zu starten, also mit System-Rechten. Betroffen ist ZENworks for Desktops 4.0.1 - ZfD4.0.1. Novell bietet einen Patch zum Download an, der das Problem beseitigt.
Insbesondere in Unternehmensnetzen stellen solche Schwachstellen ein Ärgernis dar, da Anwender damit nach Belieben ihren Desktop umkonfigurieren und eventuell auch unerwünschte Programme installieren können. Gerade die Hilfefunktionen vieler als Systemdienst laufenden Applikationen, beispielsweise Virenscanner, bieten Spielraum für Manipulationen, da sie oft über bestimmte Tricks den Zugriff auf das gesamte System gewähren.
Siehe dazu auch:
- Security Advisory von Novell
(dab)
