CH azonosító
CH-4245Angol cím
DATEV Grundpaket Basis Insecure Library Loading VulnerabilityFelfedezés dátuma
2011.01.23.Súlyosság
MagasÖsszefoglaló
A DATEV Grundpaket Basis egy sérülékenységét jelentették, amit kihasználva támadók feltörhetik a felhasználó rendszerét.
Leírás
A sérülékenység oka, hogy az alkalmazás (DMTGUI2.EXE és DvInesLogFileViewer.Exe) nem biztonságos módon tölti be a könyvtárakat (pl. DVBSKNLANG101.dll és DvZediTermSrvInfo004.dll). Ez tetszőleges könyvtár betöltésére használható DLL hijacking támadáson keresztül, ha a felhasználó megnyit egy távoli WebDAV vagy SMB megosztáson elérhető .dmt, .adl, vagy pl. .c02 fájlt.
A hiba sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.
A sérülékenységet a CD23.20 verzióban jelentették, de egyéb kiadások is érintve lehetnek.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: sotiriu.de
SECUNIA 42940