155426

Sicherheitslücke in SAP GUI

12.01.2009 | 13:32 Uhr |

In einigen Versionen der SAP GUI steckt eine Sicherheitslücke, die Angreifer ausnutzen können, um das Kommando über ein fremdes System zu übernehmen.

Das Sicherheits-Unternehmen Secunia warnt vor einer als "hochkritisch" eingestuften Sicherheitslücke in SAP GUI 6.40 Patch 29 und SAP GUI 7.10 . Der Fehler steckt in einem TabOne ActiveX-Control namens sizerone.ocx und tritt beim Kopieren von Tabs auf. Angreifer können die Schwachstelle ausnutzen, um einen Heap-basierten Pufferüberlauf zu erzeugen und so ihren eigenen Code auf dem angegriffenen System ausführen (als Heap wird ein dynamisch verwalteter Speicherbereich bezeichnet).

Benutzer eines der gefährdeten Systeme sollen auf SAP GUI 7.10 PL aktualisieren. Diese Version setzt automatisch das "Kill-Bit" für das ActiveX-Control. Alternativ kann man das Kill-Bit auch händisch setzen. Das Prozedere hierfür beschreibt SAP für registrierte Kunden unter diesem Link .

Mit SAP GUI können Administratoren und Anwender auf einen SAP-Server über eine Browser-artige Oberfläche von einem Client-Rechner aus zugreifen.

0 Kommentare zu diesem Artikel
155426