Kritische Retro-Lücke in etlichen Corel-Programmen

Corel Draw und Co. sind anfällig für DLL-Hijacking – ein Angriffsweg, dessen Blütezeit über vier Jahre zurückliegt. Angreifer können durch die Lücke Schadcode ins System einschleusen.

In Pocket speichern vorlesen Druckansicht 39 Kommentare lesen
Kritische Retro-Lücke in etlichen Corel-Programmen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg
Inhaltsverzeichnis

Fast die gesamte aktuelle Produktpalette des kanadischen Software-Herstellers Corel ist verwundbar, wie die Sicherheitsforscher von Core Security herausfanden. Die Programme sind anfällig für das sogenannte DLL Hijacking (auch Binary Planting genannt).

Diese Angriffsform wurde im Jahr 2010 bekannt und betraf unzählige prominente Programme wie Microsoft Office, Photoshop und VLC. Kurz darauf wurde sie auch schon von Online-Schurken ausgenutzt. Die meisten Hersteller reagierten prompt mit einem Patch, der das Problem aus der Welt schuf.

Unter den anfälligen Programmen befand sich damals auch Corel Draw, im Jahr 2013 wurde bekannt, dass die damals aktuellen Versionen von PDF Fusion und PaintShop Pro ebenfalls betroffen sind. Diese Namen findet man auch im aktuellen Advisory der Forscher wieder. Ob Corel die Lücke zwischenzeitlich gepatcht hatte oder seitdem einfach ignoriert, ist nicht bekannt. Verwundbar sind laut Core Security außerdem Corel Photo-Paint, Painter, CAD, VideoStudio Pro und FastFlick – einige sogar mehrfach.

Beim DLL-Hijacking gibt der Angreifer einer legitimen Anwendungsdatei (etwa einer Grafik) eine DLL mit auf den Weg, die verwundbare Programme beim Öffnen der legitimen Datei laden. Der Dateiname der DLL entspricht dem Namen einer Bibliothek, die das Programm regulär nutzt. Die Corel-Programme suchen die DLL allerdings zuerst im aktuellen Arbeitsverzeichnis – also dem Ordner, in dem sich die zu öffnende Datei befindet – ehe sie Orte wie den Windows-Ordner abgrasen. Befindet sich im Arbeitsverzeichnis eine DLL mit dem passenden Namen, wird sie folglich geladen und der darin enthaltene Code ausgeführt.

Die Forscher von Core Security geben an, Corel bereits am 9. Dezember vergangenen Jahres auf die Anfälligkeiten aufmerksam gemacht zu haben, worauf das Unternehmen nicht reagiert habe. Auch auf eine weitere Mail und einen Kontaktversuch über Twitter haben die Forscher keine Antwort erhalten. Deshalb entschlossen sie sich, mit ihren Erkenntnissen an die Öffentlichkeit zu gehen. (rei)