Rechteausweitung in ZoneAlarm

Fehler in mehreren ZoneAlarm-Sicherheitsprodukten können von Anwendern missbraucht werden, um ihre Zugriffsrechte im System zu erhöhen.

In Pocket speichern vorlesen Druckansicht 118 Kommentare lesen
Lesezeit: 1 Min.
Von

Der Sicherheitsdienstleister iDefense hat Schwachstellen in mehreren Fassungen der ZoneAlarm-Sicherheitsprodukte von CheckPoint gemeldet. Durch die Lücken können lokale Anwender ihre Rechte im System ausweiten und die komplette Kontrolle darüber gewinnen.

Eine Lücke betrifft ZoneAlarm 5.5 und 6.5. Bei der Installation setzt die Software die Zugriffsrechte der Dateien im Programmverzeichnis so, dass sie jeder verändern kann. Dadurch können Benutzer mit eingeschränkten Zugriffsrechten beispielsweise einen der Dienste der Software durch eigene Programme ersetzen, die dann im Kernel-Modus ausgeführt werden.

Die zweite Lücke betrifft den Firewall-Treiber vsdatant.sys, der sogenannten TrueVector-Engine in ZoneAlarm 6.5. Dieser überprüft beim Aufruf die in den Interrupt-Request-Paketen (IRPs) an die Input-Output-Controls (IOCTLs) übergebenen Daten nicht korrekt, wodurch lokale Angreifer beliebige Speicherbereiche überschreiben können.

Laut iDefense hat CheckPoint die Fehler mit der Version 7.0.362 aller Produkte beseitigt. Aktuell ist hingegen ZoneAlarm 7.1, das auch unter Vista läuft. Nutzer von älteren ZoneAlarm-Fassungen sollten bei Gelegenheit auf Version 7.1 aktualisieren, da auch auf dem System eingenistete Schädlinge die Fehler missbrauchen und so den Rechner vollständig kompromittieren können.

Siehe dazu auch:

(dmk)