{"id":205059,"date":"2018-06-05T15:48:17","date_gmt":"2018-06-05T13:48:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=205059"},"modified":"2019-10-03T20:06:49","modified_gmt":"2019-10-03T18:06:49","slug":"rce-schwachstelle-in-f-secure-windows-endpoint-protection","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/06\/05\/rce-schwachstelle-in-f-secure-windows-endpoint-protection\/","title":{"rendered":"RCE-Schwachstelle in F-Secure Windows Endpoint Protection"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Der Anbieter F-Secure hat eine Remote Code Execution (FSC-2018-2) in seinen Windows Endpoint Protection-Produkten geschlossen. Der Fehler tritt mal wieder beim Entpacken von RAR-Archiven auf.<\/p>\n<p><!--more--><\/p>\n<p>In einem Security Advisory weist F-Secure darauf hin, dass ein Fehler bei der Speicherbehandlung in der Dateiscanner-Implementierung von F-Secure zur Remotecodeausf\u00fchrung in F-Secure Windows-Endpunkt-Schutzprodukten f\u00fchren konnte. Erg\u00e4nzung: Aufgedeckt hat den Fehler wohl der Betreiber des <a href=\"https:\/\/landave.io\/2018\/06\/f-secure-anti-virus-remote-code-execution-via-solid-rar-unpacking\/\" target=\"_blank\" rel=\"noopener noreferrer\">landave-Blogs<\/a>\u00a0(der auch schon Fehler in 7-Zip dokumentierte).<\/p>\n<p>Der Bug betrifft die meisten F-Secure Windows Endpoint Protection-Produkte und erm\u00f6glicht b\u00f6sartig erstellten RAR-Archiven beim Scannen die Ausf\u00fchrung von beliebigem Code. Die Sicherheitsl\u00fccke kann sowohl lokal f\u00fcr die Privilegienerweiterung als auch remote ausgenutzt werden, wenn der lokale Benutzer dazu gebracht wird, ein b\u00f6sartiges Archiv herunterzuladen. Ein erfolgreicher Angriff f\u00fchrt dazu, dass der Angreifer die volle Kontrolle \u00fcber das System erlangt. Dieser RCE-Fehler (Remote Code Execution) wird als kritisch eingestuft. Betroffen sind folgende Produkte f\u00fcr Windows:<\/p>\n<ul>\n<li>F-Secure Client Security<\/li>\n<li>F-Secure Client Security Premium<\/li>\n<li>F-Secure Server Security<\/li>\n<li>F-Secure Server Security Premium<\/li>\n<li>F-Secure PSB Server Security<\/li>\n<li>F-Secure Email and Server Security<\/li>\n<li>F-Secure Email and Server Security Premium<\/li>\n<li>F-Secure PSB Email and Server Security<\/li>\n<li>F-Secure PSB Workstation Security<\/li>\n<li>F-Secure Computer Protection<\/li>\n<li>F-Secure Computer Protection Premium<\/li>\n<\/ul>\n<p>Der Bug und ein Proof-of-Concept-Exploit wurden F-Secure als Teil des Vulnerability Reward Program gemeldet. Es wurden keine bekannten Angriffe in freier Wildbahn gemeldet oder beobachtet. F-Secure hat bereits Updates bereitgestellt, die das Problem durch die automatischen Update-Mechanismen der Produkte beheben. Nur wenn die automatischen Updates explizit deaktiviert wurden, m\u00fcssen Benutzer eine Aktualisierung manuell ausl\u00f6sen. Vor der erfolgreichen Nutzung ist eine Benutzerinteraktion erforderlich. Die Produkteinstellung \"Scannen in komprimierten Dateien (zip, arj, lzh, &#8230;.)\" muss aktiviert sein, um den Archiv-Scan auszul\u00f6sen.<\/p>\n<p>Bei den Produkten F-Secure Email and Server Security, F-Secure Email and Server Security Premium und F-Secure PSB Email Security wird die anf\u00e4llige Komponente nicht verwendet. Die Produkte von F-Secure f\u00fcr Linux und Mac sind von diesem Problem nicht betroffen. Weitere Details finden sich hier\u00a0&#8211; sowie bei <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/f-secure-fixes-serious-vulnerability-in-antivirus-products\/\" target=\"_blank\" rel=\"noopener noreferrer\">Bleeping Computer<\/a>. (<a href=\"https:\/\/www.heise.de\/security\/meldung\/Sicherheitsupdates-Mehrere-AV-Anwendungen-von-F-Secure-sind-loechrig-4068340.html\" target=\"_blank\" rel=\"noopener noreferrer\">via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Anbieter F-Secure hat eine Remote Code Execution (FSC-2018-2) in seinen Windows Endpoint Protection-Produkten geschlossen. Der Fehler tritt mal wieder beim Entpacken von RAR-Archiven auf.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,301],"tags":[4328,4313,4325],"class_list":["post-205059","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows","tag-sicherheit","tag-virenschutz","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/205059","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=205059"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/205059\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=205059"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=205059"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=205059"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}