Unsicheres Update-Modul von Macrovisions InstallShield
Die Software InstallShield und FLEXnet von Macrovision sowie damit erstellte Installer richten ein ActiveX-Modul ein, das Updates ermöglichen soll. Allerdings ist es fehlerhaft, sodass Angreifer dadurch fremden Programmcode einschleusen können.
iDefense hat eine Sicherheitslücke in der Software zur Erstellung von Installationspaketen InstallShield und FLEXnet von Macrovision entdeckt, durch die Angreifer unbemerkt beliebigen Code einschleusen und ausführen können. Die Software und damit erstellte Installationspakete richten möglicherweise ein fehlerhaftes ActiveX-Modul als Update Service ein und markieren es als "Safe for Scripting", wodurch Webseiten es im Internet Explorer ohne Warnmeldungen einbinden können.
Details zur Lücke nennt iDefense in der Sicherheitsmeldung nicht. Betroffen ist jedoch die Datei isusweb.dll in den Versionen 5.01.100.47363 und 6.0.100.60146, die unter anderem von InstallShield 2008 und dem FLEXnet SDK installiert werden. Da die ActiveX-Komponente mit der ClassID {E9880553-B8A7-4960-A668-95C68BED571E} auch für die fertigen Installationspakete gedacht ist, kommt sie wahrscheinlich häufig auf Client-Rechnern zum Einsatz. Bis die Hersteller dieser Software ein Update herausgeben, sollten Nutzer daher das Killbit in der Registry setzen. Microsoft liefert eine Anleitung dazu in seiner Knowledgebase.
Siehe dazu auch:
- Macrovision InstallShield Update Service ActiveX Unsafe Method Vulnerability, Sicherheitsmeldung von iDefense
- Download der Updates von Macrovision
(dmk)
