Schwachstellen in Interactual-ActiveX
ActiveX-Module der DVD-Zusatzsoftware Interactual und Cineplayer enthalten Schwachstellen, die Angreifer mit präparierten Webseiten zum Einschmuggeln fremden Programmcodes missbrauchen können.
Der Sicherheitsdienstleister Secunia hat Sicherheitslücken in ActiveX-Modulen der Software Interactual und Cineplayer gemeldet. Mit manipulierten Webseiten können Angreifer dadurch Schadcode auf die Rechner betroffener Nutzer schleusen. Die Software liegt häufig Spielfilm-DVDs bei und soll Anwendern beispielsweise zusätzliche Online-Inhalte zugänglich machen.
In ActiveX-Modul IAMCE.dll kann bei der Verarbeitung des FailURL-Wertes ein Pufferüberlauf auftreten, wenn der Wert mehr als 256 Zeichen enthält. Im Modul IAKey.dll tritt ebenfalls ein Pufferüberlauf auf, wenn der Wert von URLCode länger als etwa 900 Zeichen ist. Beide Lücken erlauben laut Secunia die Ausführung von eingeschleustem Code.
Der Fehler betrifft Interactual in Version 2.60.12.0717 und möglicherweise ältere Fassungen sowie Cineplayer 3.2 und möglicherweise Vorgängerversionen. Cineplayer bringt nur die verwundbare IAKey.dll mit. Secunias Sicherheitsmeldung zufolge arbeitet der Hersteller derzeit an einem Update. Der Sicherheitsdienstleister empfiehlt, das Killbit für die ActiveX-Module zu setzen. Da allerdings ständig neue Schwachstellen in ActiveX-Komponenten gefunden werden, sollten Anwender ActiveX für die Internet-Zone komplett deaktivieren.
Siehe dazu auch:
- InterActual Player Two ActiveX Controls Buffer Overflow Vulnerabilities, Sicherheitsmeldung von Secunia
- CinePlayer IAKey ActiveX Control Buffer Overflow Vulnerability, Fehlermeldung von Secunia
(dmk)
