Berny
19.11.2004, 16:03
Im Werbe-Blocker Modul des Firewallsystems ZoneAlarm wurde eine Sicherheitslücke entdeckt, die für Denial of Service Attacken misbraucht werden kann und was eventuell zu Datenverlusten führen kann, wenn betroffene Rechner abstürzen und Dokumente noch geöffnet sind.
Betroffene Sotware:
ZoneAlarm Security Suite 5.x
ZoneAlarm Pro 5.x
ZoneAlarm Pro 4.x
ZoneAlarm Pro 3.x
Gefährdungsstufe: Kritisch
Nicolas Robillard als Entdecker der Schwachstelle hat eine Sicherheitslücke in verschiedenen Versionen des Firewallsystems ZoneAlarm entdeckt, die für Denial of Service Attacken missbraucht werden kann.
Das ernstzunehmende Problem lokalisiert sich im Ad-Blocking Modul als Werbefilter, weil es Java-Script fehlerhaft verarbeitet. Angreifer können mit speziell präparierten Scripten das Modul, sowie auch das System zum Absturz bringen. Das System wirkt in der Folge wie eingefroren und kann nur durch einen harten Systemstart wieder funktionstüchtig gemacht werden.
Das an und für sich eher leicht kritische Sicherheitsleck bekommt eine andere Bedeutung, wenn der Anwender sich der Folgen bewußt wird. Mit Denial of Service Attacken angegriffene Rechner reagieren bei einer erfolgreichen Attacke weder auf Mausbewegungen oder Klicks, noch auf Tastatureingaben oder Aufruf des Task-Managers, um die abgestürzte Anwendung manuell zu beenden.
Sind in dem Moment noch Dokumente und insbesondere wichtige Dokumente zur Bearbeitung geöffnet und wurden sie nicht vorher abgespeichert, kann in leichteren Fällen der Teil des Dokuments veloren gehen, der zuvor eingegeben wurde. In schweren Fällen kann aber auch das gesamte Dokument unwiderruflich zerstört werden, da das Windows Dateisystem nicht sonderlich fehlertolerant ist und bei unkontrollierten Systemabstürzen Daten so gründlich zu zerreißen, dass sie anschließend nicht mehr geöffnet werden können.
Ein Patch wird zur Zeit noch nicht angeboten. Es empfiehlt sich also, den Werbefilter zunächst zu deaktivieren.
In dieser Warnmeldung zeigt sich wieder, wie fehlerträchtig zusätzliche Module sind, die ein an und für sich nutzbares Firewallsystem instabil machen können. Nicht umsonst sind wir der Auffassung, dass zusätzliche Module wie Werbe- oder Content-Filter, Email-Überwachung und andere Module in einem Firewallsystem nichts zu suchen haben, auch wenn diverse PC Fachzeitschriften und Portale nicht müde werden, ständig nach neuen Funktionen zu schreien. Auf die Weise wurden bisher einige eigentlich leistungsfähige Schutzprogramme so weit aufgebläht, bis sich die Funktionen wechselseitig bekämpfen oder das Programm so unsicher machen, dass der eigentliche Schutz damit gut ausgehebelt wird.
Quelle: FirewallInfo.de
Betroffene Sotware:
ZoneAlarm Security Suite 5.x
ZoneAlarm Pro 5.x
ZoneAlarm Pro 4.x
ZoneAlarm Pro 3.x
Gefährdungsstufe: Kritisch
Nicolas Robillard als Entdecker der Schwachstelle hat eine Sicherheitslücke in verschiedenen Versionen des Firewallsystems ZoneAlarm entdeckt, die für Denial of Service Attacken missbraucht werden kann.
Das ernstzunehmende Problem lokalisiert sich im Ad-Blocking Modul als Werbefilter, weil es Java-Script fehlerhaft verarbeitet. Angreifer können mit speziell präparierten Scripten das Modul, sowie auch das System zum Absturz bringen. Das System wirkt in der Folge wie eingefroren und kann nur durch einen harten Systemstart wieder funktionstüchtig gemacht werden.
Das an und für sich eher leicht kritische Sicherheitsleck bekommt eine andere Bedeutung, wenn der Anwender sich der Folgen bewußt wird. Mit Denial of Service Attacken angegriffene Rechner reagieren bei einer erfolgreichen Attacke weder auf Mausbewegungen oder Klicks, noch auf Tastatureingaben oder Aufruf des Task-Managers, um die abgestürzte Anwendung manuell zu beenden.
Sind in dem Moment noch Dokumente und insbesondere wichtige Dokumente zur Bearbeitung geöffnet und wurden sie nicht vorher abgespeichert, kann in leichteren Fällen der Teil des Dokuments veloren gehen, der zuvor eingegeben wurde. In schweren Fällen kann aber auch das gesamte Dokument unwiderruflich zerstört werden, da das Windows Dateisystem nicht sonderlich fehlertolerant ist und bei unkontrollierten Systemabstürzen Daten so gründlich zu zerreißen, dass sie anschließend nicht mehr geöffnet werden können.
Ein Patch wird zur Zeit noch nicht angeboten. Es empfiehlt sich also, den Werbefilter zunächst zu deaktivieren.
In dieser Warnmeldung zeigt sich wieder, wie fehlerträchtig zusätzliche Module sind, die ein an und für sich nutzbares Firewallsystem instabil machen können. Nicht umsonst sind wir der Auffassung, dass zusätzliche Module wie Werbe- oder Content-Filter, Email-Überwachung und andere Module in einem Firewallsystem nichts zu suchen haben, auch wenn diverse PC Fachzeitschriften und Portale nicht müde werden, ständig nach neuen Funktionen zu schreien. Auf die Weise wurden bisher einige eigentlich leistungsfähige Schutzprogramme so weit aufgebläht, bis sich die Funktionen wechselseitig bekämpfen oder das Programm so unsicher machen, dass der eigentliche Schutz damit gut ausgehebelt wird.
Quelle: FirewallInfo.de