Die Sicherheitsforscher von SafeBreachLabs haben jetzt drei Sicherheitswarnungen veröffentlicht. Sie beschreiben zum Teil schwerwiegende Anfälligkeiten in Software der Firmen Autodesk, Trend Micro und Kaspersky. Vor der Veröffentlichung der Schwachstellen wurden diese allerdings den jeweiligen Herstellern gemeldet, so dass sie Gelegenheit hatten, sie zu beseitigen.
Trend Micro Maximum Security
Dazu gehört eine Schwachstelle in Trend Micros Maximum Security Version 16.0.1221 und früher. Das Problem steckt in einer Komponente der Trend Micro Solution Platform. Die Datei coreServiceShll.exe, die als Systemprozess mit hohen Rechten ausgeführt wird, braucht dafür die Bibliothek paCoreProductAdaptor.dll. Wenn diese Datei nicht vorhanden ist, kann dem Prozess stattdessen eine andere, nicht signierte DLL-Datei untergejubelt werden –eine Prüfung der Datei-Signatur findet nicht statt.
Kaspersky Internet Security
Die zweite beschriebene Anfälligkeit steckt in Kaspersky Secure Connection, den VPN-Client von Kaspersky Internet Security. Die Software soll eigentlich eine sichere Verbindung zu Servern von Kaspersky aufbauen. Auch diesem Programm kann man eine beliebige DLL-Datei unterschieben, die dann wieder mit Systemrechten ausgeführt wird. Betroffen ist Kaspersky Secure Connection 3.0.0 und früher. Der Fehler lässt sich allerdings nur ausnutzen, wenn der Angreifer schon Administratorrechte besitzt.
Autodesk
Die dritte Schwachstelle basiert ebenfalls auf einem Szenario, bei dem man eine fehlende oder entfernte DLL-Datei durch eine beliebige Programmbibliothek ersetzten kann, die dann ohne Prüfung geladen wird. Diesen Fehler macht die Desktop-Anwendung von Autodesk AdAppMgrSvc.exe: ein digitales Zertifikat einer DLL-Datei wird einfach nicht abgefragt.
Die drei Hersteller wurden schon im Juli über die Schwachstellen informiert. Trend Micro beseitigte den Fehler in seiner Software am 25. November. Kaspersky brachte am 2. Dezember einen Patch und ein Security Advisory heraus.
Autodesk hat allerdings die Sicherheitslücke in seiner Software noch nicht öffentlich bestätigt.