FileZilla 2.2.30a schließt Sicherheitslücken
Version 2.2.30a des Open-Source-FTP-Clients FileZilla schließt Sicherheitslücken, die Angreifer zum Provozieren von Pufferüberläufen ausnutzen konnten.
Version 2.2.30a des Open-Source-FTP-Clients FileZilla schließt Sicherheitslücken, die Angreifer zum Provozieren von Pufferüberläufen ausnutzen konnten. Die Entwickler raten Nutzern der Software zu einem Update, auch wenn sie die Lücken nicht als kritisch einstufen.
Eine Schwachstelle betrifft die Anzeige der Transfer-Warteschlange. Die angezeigten Werte wie die Download-Geschwindigkeit oder verbleibende Zeit wurden ohne Längenprüfung in Variablen für die Anzeige umkopiert. Beispielsweise präparierte Pfad- und Dateinamen auf dem FTP-Server können eine der Variablen zum Überlaufen bringen. Möglicherweise ließ sich so auch Code einschleusen und ausführen, die Entwickler schweigen jedoch zu den Auswirkungen.
Ein weiterer Fehler findet sich in den Routinen zum Auslesen der Einstellung aus der Registry. Hier konnte eine Variable, die die Größe eines Puffers angibt, einen zu niedrigen Wert erhalten. Um diesen Fehler auszulösen, scheint ein Angreifer jedoch lokalen Zugriff auf den Rechner zu benötigen. Auf den Sourceforge-Seiten des Projektes steht die aktuelle Version 2.2.30a zum Download bereit. FileZilla-Nutzer sollten bei Gelegenheit auf die neue Version umsteigen.
Siehe dazu auch:
(dmk)
