256383

Sicherheitslücke in Winzip

15.11.2006 | 14:31 Uhr |

Eine Schwachstelle in einer ActiveX-Komponente in Winzip 10 kann von einem Angreifer ausgenutzt werden, um beliebigen Code einzuschleusen und auszuführen. Ein Update für Winzip ist verfügbar.

Der im Frühjahr 2006 von Corel übernommene Hersteller Winzip hat eine aktualisierte Fassung seiner gleichnamigen Komprimierungssoftware bereit gestellt. Eine Sicherheitslücke in der von Winzip 10 genutzten ActiveX-Komponente "WZFILEVIEW.FileViewCtrl.61" kann beim Besuch einer dazu speziell präparierten Web-Seite mit dem Internet Explorer zum Einschleusen von Code führen.

Laut einer Sicherheitsempfehlung der Zero Day Initiative handelt es sich bei dem anfälligen ActiveX-Modul um eine umetikettierte Version des von Sky Software entwickelten ActiveX-Steuerelements "FileView", das bislang im IE als "safe for scripting" (für Scripting sicher) ausgewiesen ist.

Fälle, in denen diese Anfälligkeit praktisch ausgenutzt würde, sind bislang nicht bekannt. Versionen vor Winzip 10 sind nicht betroffen. Die fehlerbereinigte Version Winzip 10 Build 7245 erhalten Sie auf dieser Seite .

Wie das Internet Storm Center meldet , wird die Sicherheitslücke auch durch die Installation des kumulativen Sicherheits-Updates für den Internet Explorer beseitigt. Dieses am 14. November mit dem Security Bulletin MS06-067 63872 veröffentlichte Update setzt das so genannte Kill-Bit für das anfällige ActiveX-Steuerelement, das dann nicht mehr über den Internet Explorer aufgerufen werden kann.

Download: Winzip 10 Build 7245

0 Kommentare zu diesem Artikel
256383