Es gibt eine neue Schwachstelle für ActiveX. Das ist angesichts unter Sicherheitsaspekten völlig falsch strukturierten ActiveX fast nicht anders zu erwarten. Nun hat CERT aus den USA eine Schwachstelle im ActiveX-Control WeOnlyDO!-SFTP (wodSFTP) gemeldet. Dieses Control dient dazu, Windows-Anwendungen einen vereinfachten Zugriff auf SFTP-Server zu ermöglichen. Die Komponente wird vom Hersteller bei der Installation als "safe for scripting" gekennzeichnet, wodurch es möglich ist, das Modul in beliebige Webseiten einzubinden.
Diese Kennzeichnung ermöglicht es z.B. dem Internet Explorer, beliebige Parameter beim Aufruf des betreffenden ActiveX-Controls zu übergeben.
Und nun wird es interssant: wodSFTP erlaubt ohne jegliche Nutzerinteraktion, beliebige Dateien auf das lokale System herunterzuladen oder von dort ins Netz zu übertragen.
Als vorläufige Gegenmaßnahme empfiehlt das CERT in seiner Sicherheitsmeldung, die Ausführung von wodSFTP unter Windows zu unterbinden. Dazu muß man im Registrierungseditor den Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6795FA0F-35C3-4BEB-B3AA-F19DB0B228EA}
öffnen und den DWORD-Parameter Compatibility Flags mit dem Wert 0x00000400 anlegen, oder falls bereits vorhanden den Wert entsprechend ändern.
Wir raten unseren Besuchern dringend, diese Änderung rasch vorzunehmen.
Weitere Details dazu:
- WeOnlyDo! SFTP ActiveX control fails to properly restrict access to methods, Originalbericht US-CERT
- Homepage wodSFTP
Grüße
Funkenzupfer