WinSCP: Ungewollter Datei-Versand durch präparierte Links
Der Windows-SFTP-Client WinSCP kann durch präparierte Links ungewollt Dateien ins Netz hochladen, auf den Rechner herunterladen oder Daten an lokale Dateien anhängen, wodurch diese möglicherweise unbrauchbar werden.
Der quelloffene Windows-SFTP-Client WinSCP kann durch Verfolgen präparierter Links ungewollt Dateien ins Netz hochladen, auf den Rechner herunterladen oder Daten an lokale Dateien anhängen, wodurch diese möglicherweise unbrauchbar werden. WinSCP registriert sich bei der Installation als URI-Handler etwa für die Protokolle scp:// oder sftp://, wodurch Browser beim Anklicken solcher Links das Programm aufrufen.
Angreifern ist es möglich, in Webseiten präparierte Links einzubetten, die Kommandozeilen-Optionen für WinSCP enthalten. Einige dieser Optionen könnten einen Dateitransfer auf einen beliebigen SFTP-Server veranlassen, andere eignen sich, um beliebige Dateien auf den Client-Rechner herunterzuladen – etwa in das Autostart-Verzeichnis. Ohne weitere Benutzerinteraktion funktioniert der Upload jedoch nur, wenn der Zielserver mit seinem Fingerprint bereits im Cache von WinSCP hinterlegt ist.
In seiner Sicherheitsmeldung auf der Mailingliste Full Disclosure nennt Jelmer Kuperus zwei beispielhafte Links, die solch ein Verhalten demonstrieren. Betroffen ist WinSCP 3.8.1 und möglicherweise vorhergehende Versionen; eine fehlerbereinigte Fassung steht noch nicht zum Download bereit.
Siehe dazu auch: (dmk)
- WinSCP - URI Handler Command Switch Parsing, Sicherheitsmeldung von Jelmer Kuperus
