CA patcht Schwachstellen in zahlreichen Produkten

Unter anderem schließt der Hersteller eine kritische Lücke in eTrust Intrusion Detection 3.0 und DoS-Lücken in den Parsern seiner Virenscanner.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Computer Associates hat mehrere Schwachstellen in seinen Sicherheitsprodukten gemeldet. So gerät etwa der CA-Virenscanner-Parser zur Verarbeitung von HTML-Hilfedateien (CHM) beim Einlesen präparierter Dateien in eine Endlosschleife. Bei der Analyse von fehlerhaften RAR-Archiven hingegen bleibt der Parser hängen. Betroffen sind zahlreiche Produkte, angefangen von der CA Internet Security Suite 2007, über CA Anti-Virus for Enterprise bis hin zu BrightStor ARCserve Backup. Eine genaue Liste hat CA in seinem Fehlerbericht veröffentlicht. Updates für die jeweiligen Produkte beheben die Fehler.

Darüber hinaus enthält CAs eTrust Intrusion Detection 3.0 (mit und ohne SP1) unter Windows ein fehlerhaftes ActiveX-Control (caller.dll, CLSID 41266C21-18D8-414B-88C0-8DCA6C25CEA0 ), über das ein Angreifer die Kontrolle über den Rechner übernehmen kann. Laut iDefense ist das Control als "Safe for Skripting" markiert, bietet aber dennoch eine Reihe von Funktionen an, über die jede beliebige Webseite DLLs mit beliebigen Parametern laden und starten kann. Ein Update schließt diese Lücke.

Siehe dazu auch:

(dab)