Sicherheitslöcher in Visual Studio 6
Microsofts Visual Studio 6 enthält Schwachstellen, die Angreifer mit manipulierten Projektdateien zum Einschleusen von Schadcode ausnutzen können.
Entwickler, die noch Microsofts Visual Studio 6 einsetzen und etwa Programmprojekte aus dem Netz öffnen, können sich dabei einen Schädling einfangen. Sowohl der Komponente Visual Basic als auch Visual InterDev zur Erstellung von Webanwendungen mit Microsofts Active Server Pages (ASP) können beim Verarbeiten von manipulierten Projektdateien Puffer überlaufen und dabei eingeschleuster Code ausgeführt werden.
Im Exploit-Archiv milw0rm.com sind Beispielprogramme aufgetaucht, die die Schwachstellen demonstrieren sollen. Sie erstellen präparierte Projektdateien für Visual Basic (.dsr) beziehungsweise für Visual InterDev (.sln). Visual Basic patzt beim Verarbeiten zu großer Werte für die Optionen ConnectionName und CommandName, InterDev bei zu langen Werten im Project-Feld.
Ein Update von Microsoft gibt es noch nicht und könnte möglicherweise auch ausbleiben, da die betroffenen Produkte bereits über zehn Jahre alt sind und Microsoft die alten Versionen nicht mehr unterstützt. Entwickler können sich schützen, indem sie die Projektdateien aus möglicherweise unsicheren Quellen vor dem Öffnen von Hand mit einem Texteditor auf verdächtige Einträge überprüfen und diese gegebenenfalls korrigieren.
Siehe dazu auch:
- MS Visual Basic Enterprise Ed. 6 SP6 ".dsr" File Handling Buffer Overflow, Exploit auf milw0rm.com von shinnai
- Microsoft Visual InterDev 6.0 (SP6) ".sln" files Local Buffer Overflow, Exploit auf milw0rm.com von shinnai
(dmk)
