Buffer Overflow in Systemtool von Sysinternals
Durch einen Buffer Overflow in Sysinternals Tool Process Explorer lässt sich Schadcode einschleusen und ausführen.
Durch einen Buffer Overflow im Sysinternals-ToolProcess Explorer lässt sich Schadcode einschleusen und ausführen. Der Überlauf lässt sich durch zu lange Firmennamen in der Versionsinfo einer ausführbaren Datei provozieren. Allerdings muss ein Opfer die präparierte Datei zunächst starten und dann mit dem Process Explorer die Eigenschaften anzeigen.
Ob zum Infizieren des System wirklich der Umweg über die Schwachstelle nötig ist, ist fraglich. Immerhin hat der Anwender ja bereits eine infizierte Datei freiwillig gestartet, die dann mit seinen Rechten läuft. Es mag aber Szenarien geben, in denen diese Schwachstelle bestimmte Sicherungsmaßnahmen austricksen kann.
Ein Proof-of-Concept-Exploit des Entdeckers demonstriert das Problem und bringt den Process Explorer zum Absturz. Betroffen ist Version 9.23.0 und wahrscheinlich vorhergehende. In der Version 9.24 ist der Fehler beseitigt.
Siehe dazu auch: (dab)
- Buffer Overflow in Processing CompanyName Values Lets Remote Users Execute Arbitrary Code, Fehlerreport auf Securitytracker
