ActiveX-Control in VeriSign Managed PKI verwundbar
Ein Pufferüberlauf in dem Control namens ConfigChk, das unter anderem Teil von GoSecure- und SecureMessaging-Installationen ist, bringt unter Umständen IE-Nutzer in Gefahr.
- Christiane Rütten
Mehrere Komponenten der Zertifikateverwaltung VeriSign Managed PKI (MPKI, vormals OnSite) sind unter Umständen für Angriffe übers Netz verwundbar. Schuld ist laut Sicherheitsdienstleister iDefense ein Pufferüberlauf in dem Active-X-Control ConfigChk, der sich beim Ansurfen von manipulierten Webseiten mit dem Internet Explorer zum Einschleusen von beliebigem Schadcode nutzen lässt. Das Control ist Bestandteil von Client-seitigen GoSecure- und SecureMessaging-Installationen sowie des Processing Center (PC) Remote Hosting-Kits.
VeriSign hat das Problem inzwischen in einem eigenen Advisory bestätigt. Die Firma stellt Patches für Managed PKI 6.0, 6.1.3 und 7.0 bereit, die auch mit Managed PKI 5.x und dem älteren OnSite 4.6.1 funktionieren sollen. VeriSign empfiehlt allen Käufern seiner MPKI- und Processing-Center-Lösungen, die betroffene Infrastruktur zu aktualisieren und die eigenen Kunden über das Update zu informieren. Den von iDefense eingebrachten Vorschlag, als Workaround das ConfigChk durch Setzen seine Kill-Bits zu deaktivieren, hat VeriSign nicht aufgegriffen – vermutlich, weil das Active-X-Control eine zentrale Funktion für die Zertifikateverwaltung auf Client-Rechnern übernimmt.
Siehe dazu auch:
- Managed PKI Client Security Vulnerability Patch, Advisory von VeriSign
- VeriSign ConfigChk ActiveX Control Buffer Overflow Vulnerability, Advisory von iDefense
(cr)
