ZoneLabs ZoneAlarm bis 6.1 MSHTML.DLL ShowHTMLDialog() Limitierung umgehen
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
Die ZoneAlarm der Firma ZoneLabs ist eine alteingesessene und sehr beliebte Personal Firewall für Windows-Rechner. Eine der Stärken dieser Software ist das Filtern des Netzwerk-Zugriffs von Anwendungen. So kann bestimmten Anwendungen der Zugriff erlaubt werden (z.B. Microsoft Internet Explorer) und alle anderen Netzwerk-Anwendungen müssen zuerst freigeschaltet werden oder sind gänzlich verboten. So können Remote Control Programme, Trojanische Pferde und Viren bekämpft werden. Debasis Mohanty wies in seinem Advisory auf einen klassischen Trick hin, wie derlei Schutzmechanismen umgangen werden können. Und zwar wird einfach auf API-Aufrufe freigegebener Anwendungen aufgesprungen, um dadurch erweiterte Rechte zu erhalten. Es wurde zusammen mit dem Advisory ein Exploit publiziert. Als Workaround wird lediglich empfohlen, sich nicht alleine auf Personal Firewalls zu verlassen. Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (22971) dokumentiert.
Dieser Fehler ist nun ganz und gar nicht neu, denn so ist es seit jeher klar, dass bei ZoneAlarm einmal freigegebene Bereiche für Manipulationen missbraucht werden können. Gerade wenn der Internet Explorer samt seiner Bibliotheken auf die Whitelist gesetzt wurde, können über bekannte Aufrufe darüber ein Tunnelling-Kanal umgesetzt werden.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.6VulDB Meta Temp Score: 5.2
VulDB Base Score: 5.6
VulDB Temp Score: 5.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: Unbekannt
ATT&CK: Unbekannt
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
Programmiersprache: 🔍
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: FirewallStatus: 🔍
0-Day Time: 🔍
Patch: zonelabs.com
Timeline
10.10.2005 🔍07.11.2005 🔍
08.11.2005 🔍
09.11.2005 🔍
10.11.2005 🔍
16.11.2005 🔍
16.11.2005 🔍
05.07.2019 🔍
Quellen
Advisory: hackingspirits.comPerson: Debasis Mohanty
Firma: hackingspirits.com
Status: Nicht definiert
CVE: CVE-2005-3560 (🔍)
X-Force: 22971 - ZoneAlarm ShowHTMLDialog function obtain information, Medium Risk
SecurityFocus: 15347 - Zone Labs Zone Alarm Advance Program Control Bypass Weakness
Secunia: 17450 - ZoneAlarm Personal Firewall Program Control Feature Bypass, Not Critical
OSVDB: 20677 - ZoneAlarm ShowHTMLDialog() Outbound Filter Bypass
Eintrag
Erstellt: 10.11.2005 10:31Aktualisierung: 05.07.2019 10:48
Anpassungen: 10.11.2005 10:31 (76), 05.07.2019 10:48 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.