Angriff aus dem Grab: Word-Perfect-Dateien lösen Pufferüberlauf aus

Wer die Office-Suite Word Perfect schon abgeschrieben hat, war voreilig. Quasi aus dem Grab heraus sorgt der ehemalige MS-Office-Konkurrent, der mittlerweile bei Corel ein weniger beachtetes Dasein fristet, noch für Unruhe: Eine Bibliothek zur Auswertung und Anzeige von Word-Perfect-Dateien enthält einen kritischen Pufferüberlauf, der sich ausnutzen lässt, um Code einzuschleusen und auszuführen.

Diese Bibliothek aus dem SDK Autonomy KeyView nutzen eine Reihe von Produkten, darunter IBMs Lotus Notes und diverse Mail-Scanner von Symantec. Pikanterweise sind darunter auch diverse Produkte, die gerade das Abhandenkommen von Daten vermeiden sollen (Data Loss Prevention, siehe auch: Die sicheren Daten). Angreifer könnten durch spezielle Mails mit präparierten Dateianhängen den Fehler auslösen und beispielsweise Spionage-Software einschleusen.

Bei Notes müsste der Anwender diesen Dateianhang noch selbst öffnen, Symantecs Mail-Security-Lösungen machen dies selbstständig. Interessant auch, dass nach Angaben des Herstellers bei Symantec Mail Security for SMTP das Risiko geringer ausfällt, weil das Scan-Modul mit niedrigeren Rechten läuft, dass aber bei den analogen Produkten für Exchange und Domino derartige Sicherheitsvorkehrungen anscheinend nicht vorhanden sind.

Es ist bei weitem nicht das erste Mal, dass die Autonomy-KeyView-Bibliotheken für Sicherheitsprobleme sorgen. Vor einem Jahr deckte Secunia gleich mehrere Lücken auf, die dann ebenfalls Symantec Mail Security und Lotus Notes betrafen. iDefense hatte die Hersteller bereits Ende 2008 über das Problem informiert; diese stellen mittlerweile Updates beziehungsweise Patches bereit.

• Autonomy KeyView Word Perfect File Parsing Buffer Overflow Vulnerability von iDefense
• Symantec Products Update Vulnerable Autonomy KeyView Module von Symantec
• Potential Security Issue with Lotus Notes File Viewer for WordPerfect von IBM

(ju)