Das verbreitete Installationspaket InstallShield enthält einen Update Agent, der sich mit dem Server des Herstellers verbindet, um Informationen über neuere Versionen oder eventuelle Sicherheitsupdates zu holen. Dies geschieht über eine HTTP-Verbindung ohne Verschlüsselung oder Authentifizierung. Somit kann ein Angreifer nicht nur die Verbindung belauschen, sondern die übertragenen Daten auch quasi beliebig manipulieren.

Anzeige

Da über dieses Update-System auch neue Software-Versionen geladen und installiert werden, wäre es prinzipiell sogar möglich, einen Rechner auf diesem Weg mit Schad- oder Spionage-Software zu infizieren. Das zugrundeliegende Produkt Acresso FLEXnet Connect wird von einigen weiteren Installationsprogrammen genutzt. Laut einer Sicherheitswarnung des US-Certs sind unter anderem Pakete der Firmen IBM, Intel, Corel, Macrovision und Roxio betroffen.

Bislang existiert kein Update des Herstellers und sowohl der Entdecker des Problems Brian Dowling als auch das US-Cert resümieren, dass es keine wirklich praktikable Abhilfe gibt.

Erschwerend hinzu kommt, dass das ActiveX Control des Update Agents einen Fehler in der Speicherverwaltung aufweist, der sich ausnutzen lässt, um Code einzuschleusen und auszuführen. Für diese Lücke stellt Acresso allerdings ein Update bereit, das die Hersteller, die den Update Agent nutzen, an ihre Kunden verteilen sollten. Bei InstallShield ist dies anscheinend bislang nicht geschehen.

Siehe dazu auch:

• InstallShield Update Agent - Remote "Rule Script" Code Execution Vulnerability von Brian Dowling
• InstallShield / Macrovision / Acresso FLEXnet Connect insecurely retrieves and executes scripts Sicherheitsnotiz des US-Certs