Schwachstelle in RealVNC 4.1.1
Eine Sicherheitslücke in RealVNC 4.1.1 erlaubt den Fernzugriff ohne Passworteingabe.
Das gerne zur Fernwartung eingesetzte Programm RealVNC enthält eine Sicherheitslücke in der Server-Komponente. Dadurch kann auch über das Internet auf damit ausgestattete Rechner zugegriffen werden ohne das Session-Passwort eingeben zu müssen. Der Hersteller hat bereits reagiert und ein Update auf Version 4.1.2 bereit gestellt. VNC dient dazu die Bildschirmausgabe eines entfernten Rechners über ein Netzwerk auf einen anderen Computer zu übertragen.
Entdeckt wurde das Problem von Entwicklern der Software-Firma Intelli Navigator, die selbst Produkte zur Fernwartung vertreibt. Die Entwickler hatten eine eigene Client-Anwendung für VNC geschrieben und beim Login auf einem Rechner mit laufendem RealVNC-Server festgestellt, dass sie ohne Eingabe des Session-Passworts Zugriff auf die Konsole erhielten.
Nachdem intensive Tests ergeben hatten, dass der Fehler tatsächlich in der Server-Komponente von RealVNC 4.1.1 - und nur in dieser - liegen musste, nahmen sie Kontakt zum Hersteller auf. Dieser reagierte recht schnell und stellte innerhalb einiger Stunden die neue Version 4.1.2 bereit.
Nach den Testergebnissen der Entdecker des Fehlers sind andere VNC-basierte Produkte wie UltraVNC oder TightVNC nicht betroffen. Auch ältere RealVNC-Versionen wie etwa 4.0 scheinen diesen Fehler nicht zu enthalten. Es wurden jedoch nur die Windows-Versionen untersucht.
Wer RealVNC 4.1.1 einsetzt, sollte allerdings umgehend die neue Version installieren. Dies gilt umso mehr in Fällen, in denen ein Rechner mit laufendem RealVNC ohne weitere Sicherheitsmaßnahmen über das Internet erreichbar ist.
