Ciscos Windows-VPN-Client ermöglicht höhere Rechte
Über eine Lücke in der GUI des VPN-Client-Dialers können Anwender Befehle mit SYSTEM-Privilegien ausführen.
Cisco hat eine Schwachstelle in seinem VPN-Client für Windows gemeldet, durch die am System angemeldete Anwender mit eingeschränkten Zugriffsrechten trotzdem Befehle mit SYSTEM-Privilegien ausführen können. Das Problem steckt in der GUI des VPN-Client-Dialers, der zum Öffnen von Dialogboxen ebenfalls System-Rechte anwendet. Über die Dialoge ist es laut Cisco möglich, Befehle an das System zu übergeben. Betroffen sind der Cisco VPN Client for Windows 2.x, 3.x 4.0.x, 4.6.x, 4.7.x (außer 4.7.00.0533) sowie 4.8.00.x. Neue Software-Versionen beheben das Problem. Die Clients für Solaris, Linux und Mac OS sind nicht betroffen.
Siehe dazu auch: (dab)
- Windows VPN Client Local Privilege Escalation Vulnerability, Fehlerbericht von Cisco
