Verisigns i-Nav-Plug-in erlaubt Codeausführung
Verisigns i-Nav-Browser-Plug-in rüstet Unterstützung für Internationale Domain-Namen nach. Das ActiveX-Control enthält jedoch eine Schwachstelle, über die Angreifer Schadcode einschleusen könnten.
Der Internetregistrar und Zertifikatsherausgeber Verisign verteilt mit i-Nav ein Browser-Plug-in, das die Unterstützung für internationalisierte Domain-Namen (IDN) nachrüstet. Die 3com-Tochter Zeroday-Initiative meldet eine Schwachstelle in dem ActiveX-Control, über das Angreifer Schadcode auf Rechner einschmuggeln könnten, die das ActiveX-Modul installiert haben.
Im VUpdater.Install-ActiveX-Modul, das IDN für Microsofts Internet Explorer, Outlook und Outlook Express übersetzt, führt eine fehlende Überprüfung von cab-Archiven in der Funktion InstallProduct dazu, dass Angreifer über präparierte Webseiten beliebige ausführbare Dateien angeben können, die im Kontext des angemeldeten Benutzers ausgeführt werden.
Verisign stellt auf der i-Nav-Homepage eine aktualisierte Softwareversion bereit, welche die Schwachstelle schließt. Nutzer des Plug-ins sollten das Update auf die neue Version zügig vornehmen.
Siehe dazu auch: (dmk)
- Verisign I-Nav ActiveX Control Code Execution Vulnerability, Sicherheitsmeldung der Zero Day Initiative
- Versigns i-Nav-Homepage mit Download der aktualisierten Plug-In-Versionen
