McAfee VirusScan installiert unsichere ActiveX-Controls

McAfees Virenscanner VirusScan installiert auf Windows-Systemen unsichere ActiveX-Controls, mit denen Angreifer Zugriff auf die Registry erhalten und beliebige Schlüssel auslesen können.

In Pocket speichern vorlesen Druckansicht 120 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

McAfees Virenscanner VirusScan installiert auf Windows-Systemen unsichere ActiveX-Controls, mit denen Angreifer Zugriff auf die Registry erhalten und beliebige Schlüssel auslesen können. Dazu reicht es aus, dass ein Opfer mit dem Internet Explorer 6 -- und den Standard-Sicherheitseinstellungen -- ein HTML-Dokument aufruft, in dem entspechender Scripting-Code enhalten ist. Jonathan Payne, Entdecker der Lücke, hat dazu folgenden Code veröffentlicht, der zu Demonstrationszwecken Informationen zum Desktop-Hintergrundbild ausgibt:

<html>
<object classid="clsid:4C29D864-C55A-46DD-865C-17A1B7CC1A1A" id="gobjReg"
style="display: none;">
</object>
<h1>McAfee installer test
<script language="vbscript">
document.write( _
gobjReg.RegQueryValue( "HKCU\Control Panel\Desktop", "Wallpaper") _
)
</script>
</html>

Ersetzt man Schlüssel und Wert etwa durch

"HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters", "DhcpNameServer"

so lässt sich der Nameserver des Netzwerkes abfragen, an das der Client angeschlossen ist. Angreifer können somit Informationen über Zielsysteme zusammentragen.

Welche Versionen betroffen sind, gibt Payne nicht an. Bei Tests in der heise-Security-Redaktion war zumindest Version 8.0 des McAfee-Virenscanners verwundbar. Payne weist in seinem Advisory darauf hin, dass VirusScan weitere Controls installiert, mit denen der Zugriff auf das Dateisystem und die Konfiguration des Betriebssystems möglich ist. Eine Lösung für das Problem gibt es derzeit nicht. Anwender sollten ActiveX deaktivieren, dann allerdings gelingen zumindest die Aktualisierungen für die Virenscanner-Signaturen nicht mehr. Welche Auswirkungen eine Deaktivierung von ActiveX insgesamt auf den McAfee-Virenscanner hat, ist derzeit noch nicht letztlich geklärt.

Siehe dazu auch: (dab)