Interactual-ActiveX ermöglicht Systemeinbruch
Ein ActiveX-Modul, das der InterActual Player und der CinePlayer installieren, kann mit manipulierten Webseiten zum Einschleusen von beliebigem Programmcode missbraucht werden.
Der Sicherheitsdienstleister Secunia hat eine Sicherheitslücke in einem vom InterActual Player und CinePlayer installierten ActiveX-Modul gemeldet, durch die Angreifer mit präparierten Webseiten Schadcode einschleusen können. Die Software liegt häufig auf Spielfilm-DVDs und soll zusätzliche Features wie den Zugriff auf Online-Inhalte bieten.
Webseiten, die die ActiveX-Komponente IASystemInfo.dll einbinden, können durch die Übergabe einer Zeichenkette von mehr als 260 Zeichen für den Wert ApplicationType einen Pufferüberlauf provozieren. Dabei können sie auch Schadcode einschleusen. Laut Secunia arbeitet InterActual an einem Update. Solange es jedoch nicht verfügbar ist, sollte man das Killbit für das ActiveX-Modul setzen.
Siehe dazu auch:
- InterActual Player / CinePlayer IASystemInfo.dll ActiveX Control Buffer Overflow, Sicherheitsmeldung von Secunia
- Webseite zum InterActual Player mit Download
(dmk)
