ZoneLabs ZoneAlarm %windir%\Internet Logs\ NTFS fehlerhafte Dateirechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in ZoneLabs ZoneAlarm entdeckt. Sie wurde als problematisch eingestuft. Es geht hierbei um eine nicht näher spezifizierte Funktion der Datei %windir%\Internet Logs\ der Komponente NTFS Permission Handler. Mittels dem Manipulieren mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk erfolgen. Es existiert kein Exploit. Es wird empfohlen, die betroffene Komponente mit einer alternativen Komponente zu ersetzen.
Details
Die von CheckPoint aufgekaufte ZoneAlarm, ursprünglich eine Entwicklung der Firma ZoneLabs, ist eine alteingesessene und sehr beliebte Personal Firewall für Windows-Rechner. Eine der Stärken dieser Software ist das Filtern des Netzwerk-Zugriffs von Anwendungen. So kann bestimmten Anwendungen der Zugriff erlaubt werden (z.B. Microsoft Internet Explorer) und alle anderen Netzwerk-Anwendungen müssen zuerst freigeschaltet werden oder sind gänzlich verboten. So können Remote Control Programme, Trojanische Pferde und Viren bekämpft werden. In seinem Full-Disclosure Posting weist bipin gautam darauf hin, dass die in %windir%\Internet Logs\ gespeicherten Konfigurationsdateien mit zu laxen NTFS-Rechten behaftet werden. So hat jedermann auf dem System Lese- und Schreibzugriff auf die entsprechenden Daten. John LaCour, der Security Services Group Manager von Zone Labs LLC, weist in seiner Rückantwort darauf hin, dass dies mehr oder weniger absichtlich so sei. Die Daten der ZoneAlarm würden durch einen Integritäts-Check des TrueVector-Treibers im Kernel geschützt werden. Unerlaubte Manipulationen hätten zur Folge, dass die Firewall keinen Netzwerkverkehr mehr zulassen würde [http://lists.netsys.com/pipermail/full-disclosure/2004-August/025537.html]. Deshalb handle es sich nicht direkt um eine Schwachstelle, weshalb es zur aktuellen Stunde auch unklar ist, ob entsprechende Anpassungen in zukünftigen Software-Versionen angestrebt werden würden. Als Workaround wird empfohlen, nur vertrauenswürdigen Benutzern lokalen Zugriff auf ein potentiell verwundbares System zu gewähren oder eine alternative Firewall einzusetzen (z.B. ISS BlackICE PC Protection). Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 10987†) dokumentiert. Zusätzliche Informationen finden sich unter lists.netsys.com. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Grundsätzlich mag die Aussage von ZoneLabs stimmen, dass das besagte Problem keine direkte Schwachstelle darstellt. Doch erscheint es unsinnig, die bestehenden und klassischen Sicherheitsmechanismen eines Betriebssystems zu ignorieren. Fällt nämlich der TrueVector-Treiber irgendwie aus, so könnten die NTFS-Dateirechte schlimmeres verhindern. Da sich niemand von ZoneLabs mehr in dem besagten Thread bzw. dem Folge-Thread gemeldet hat - obschon harrsche Kritik an der Rechtfertigung geübt wurde [http://lists.netsys.com/pipermail/full-disclosure/2004-August/025538.html] -, ist das weitere Vorgehen des Herstellers absolut unklar. Benutzer bzw. Administratoren betroffener Multiuser-Systeme sollten die Sache jedenfalls im Auge behalten und falls möglich etwelche Gegenmassnahmen anstreben.
Produkt
Typ
Hersteller
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.4VulDB Meta Temp Score: 6.4
VulDB Base Score: 6.4
VulDB Temp Score: 6.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: AlternativeStatus: 🔍
0-Day Time: 🔍
Patch: zonelabs.com
Timeline
19.08.2004 🔍24.08.2004 🔍
29.06.2019 🔍
Quellen
Advisory: lists.netsys.comPerson: bipin gautam
Status: Nicht definiert
GCVE (VulDB): GCVE-100-802
SecurityFocus: 10987
Diverses: 🔍
Eintrag
Erstellt: 24.08.2004 11:50Aktualisierung: 29.06.2019 09:30
Anpassungen: 24.08.2004 11:50 (48), 29.06.2019 09:30 (3)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.