Lücke in ActiveX-Control für CD-Datenbankabfragen
Über einen ActiveX-Control des Herstellers Gracenote lässt sich Code auf den Rechner schleusen. Betroffen sind unter anderem Software-Produkte von Sony.
- Daniel Bachfeld
Eine Lücke in einem ActiveX-Control des Herstellers Gracenote zum Abfragen von CD-Datenbanken (CDDB) gefährdet die Sicherheit von Windows-PC, sofern der Anwender den Internet Explorer benutzt. Über einen Buffer Overflow beim Einlesen von Konfigurationsparametern für Proxys soll sich nach Angaben der Zero-Day-Initiative Code einschleusen und starten lassen. Da das Control als "Safe for Scripting" deklariert ist, kann es von jeder Webseite gesteuert werden. Um seinen PC etwa mit einem Schädling zu infizieren, genügt der Aufruf einer präparierten Webseite.
Gracenote hat ein fehlerbereinigtes Control zum Download bereitgestellt, in dem keinerlei Scripting-Funktionen mehr vorhanden sind. Laut Hersteller benötige man diese ohnehin nicht mehr. Das verwundbare Control findet sich unter anderem in Sony Connect Player, Sony SonicStage und Sony SonicStage Mastering. Ein ähnliche Lücke im Control von Gracenote wurde zuletzt im Juni 2006 bekannt, Sony informierte seine Kunden allerdings erst drei Monate später über die kritische Lücke und das verfügbare Sicherheits-Update.
Siehe dazu auch:
- Gracenote Update April 18, 2007, Mitteilung des Herstellers
- GraceNote CDDBControl ActiveX Buffer Overflow Vulnerability, Fehlerbericht von ZDI
(dab)
