F-Secure flickt kritisches Leck in Web-Konsole

02.06.2006
Eine Schwachstelle in der Management-Konsole zweier F-Secure-Produkte kann einen Buffer-Overflow auslösen.

Nach Symantec musste nun auch der finnische Sicherheitsanbieter F-Secure Hand an die eigenen Produkte legen. Wie das Unternehmen in seinem Bulletin FSC-2006-3 mitteilt, wurde in der Web-basierenden Management-Konsole der beiden F-Secure-Produkte "Antivirus for Microsoft Exchange" 6.40 sowie "Internet Gatekeeper" in den Versionen 6.40, 6.41, 6.42 und 6.50 ein kritischer Fehler entdeckt, durch den sich ein Buffer-Overflow auslösen lässt. Dies könne den Kollaps des Web-Konsolen-Prozesses zur Folge haben und Angreifern die Ausführung beliebigen Codes auf ungepatchten Systemen ermöglichen, so der Hersteller.

Wie kritisch der Bug einzustufen ist, hängt laut F-Secure von der Konfiguration der Konsole ab: Als "hoch" sei das mit der Sicherheitslücke verbundene Risiko zu bezeichnen, wenn die Konsole lediglich Verbindungen mit lokalen oder speziell vertrauenswürdigen Hosts zulässt. Ist sie hingegen so konfiguriert, dass sie Verbindungen mit allen Hosts erlaubt, sei sie als "kritisch" zu bewerten. Die in dem Security-Bulletin zur Verfügung gestellten Hotfixes sollen das Problem allerdings beheben. (kf)