Thema: ZoneAlarm (Pro) ...

[SiLæncer]

Der Hersteller Zone Labs weist auf eine Schwachstelle in seinen Firewall-Produkten hin, durch die das System zum Stillstand kommen kann. Ursache ist ein Fehler in der Ad-Blocking-Funktion, der bei bestimmten JavaScripten auftritt. Standardmäßig ist das Ad-Blocking deaktiviert. Ist die Funktion aktiviert, unterdrückt sie verschiedene Arten von Werbe-Pop-ups. Angreifer können den Fehler für Denial-of-Service-Angriffe ausnutzen und so den Anwender unter Umständen dazu bringen, die Funktion wieder abzuschalten.

Betroffen sind ZoneAlarm Security Suite und ZoneAlarm Pro. Laut Advisory wurde der Fehler in der Version 5.5.062 behoben, die seit dem 8. November verfügbar ist. Anwender, die den automatischen Update eingeschaltet haben, sollten bereits auf dem neuesten Stand sein. Mit der "Check for Updates"-Option lässt sich die Aktualisierung manuell anstoßen.

Quelle : www.heise.de

[SiLæncer]

Ein von der IT-Sicherheitsfirma Idefense entdeckter Fehler in Zonealarm kann dazu genutzt werden, um Windows zum Absturz zu bringen. Zonealarm ist eine beliebte Desktop Firewall, besonders in der kostenlosen Version. Der kürzlich veröffentlichte Fehler liegt in einem Programmteil, der die Zielangabe eines beabsichtigten Internet-Zugriffs auswertet. Enthält diese Angabe einen ungültigen Wert, kann nicht nur das Programm abstürzen. Da sich Zonealarm mit einem Treiber in Kern des Betriebssystems einhängt, stürzt auch Windows mit einem "Bluescreen" ab.

Zwar kann der Fehler nur lokal ausgenutzt werden, das heißt durch ein auf dem PC vorhandenes Programm, dies kann jedoch auch ein unerkannter Schädling sein. Dieser kann auf beliebigem Wege eingeschleust werden, etwa als Mail-Anhang, Web-Download oder über P2P-Netze. Man spricht deshalb von einem lokalen DoS-Angriff (Denial-of-Service).

Nach dem Neustart von Windows ist die Desktop Firewall wieder in Betrieb, weitere Sicherheitsprobleme erwachsen also nicht. Betroffen sind Zonealarm-Versionen vor 5.5.062.011 und Versionen des Check Point Integrity Client vor 4.5.122.000 und 5.1.556.166. Benutzer von Zonealarm erhalten mit der eingebauten Update-Funktion einen Patch, der das Problem behebt. Administratoren von Check Point Integrity sollten ein Upgrade auf eine der vorgenannten Versionen durchführen.

Quelle : www.pcwelt.de

[SiLæncer]

In einem Security-Advisory beschreibt Debasis Mohanty, wie ein Trojaner an der Personal Desktop Firewall ZoneAlarm vorbei Informationen ins Internet senden kann. ZoneLabs hat mit einer eigenen Meldung reagiert. Die gute Nachricht: nicht alle Versionen von ZoneAlarm sind betroffen. Die Schlechte: für die kostenlose Firewall gibt es keinen Workaround.

Mohanty stellt in seinem Advisory ein Proof-of-Concept-Programm bereit. Das sendet beliebige Daten durch bekannte, vom Benutzer zugelassene Programme mittels einer Microsoft-API namens DDE-IPC (Direct Data Exchange -- Interprocess Communications) an Webserver. Die kostenpflichtigen ZoneAlarm-Versionen (Pro, Anti-Virus, Internet Security Suite) melden hierbei verdächtige Programmzugriffe, wenn die Option "Advanced Program Control" aktiviert ist, was ab Version 6 standardmäßig der Fall ist. Da viele Programme den Internet Explorer nutzen, führt dies aber auch häufig zu Alarmmeldungen, die durch harmlose Vorgänge ausgelöst werden.

ZoneLabs empfiehlt in seinem Advisory, dass Nutzer der älteren Firewall-Versionen die Option "Advanced Program Control" aktivieren oder auf die neuen Versionen der Software umsteigen sollen. Für die Nutzer der kostenlosen Version hat der Hersteller keinen guten Rat parat.

Der Versuch, mit einer Personal Firewall einmal gestartete Programme an der Kommunikation mit dem Internet zu hindern, ist grundsätzlich problematisch. Ein Angreifer, der sich Mühe gibt, findet immer eine Möglichkeit, die Sperrmechanismen der Personal Firewall auszutricksen. So könnte er beispielsweise über spezielle DNS-Anfragen Daten nach außen schmuggeln oder sogar komplette TCP-Verbindungen tunneln. Der Schutz vor unerwünschter Kommunikation "von drinnen nach draußen" ist somit ohnehin auf Spyware und Trojaner beschränkt, die sich keine große Mühe geben, von solchen Schutzprogrammen unbemerkt zu agieren.

Hierzu siehe auch:

    * Security Advisory von Debasis Mohanty
    * Security Advisory von ZoneLabs
    * Schleichpfade, Tunnel durch die Firewall auf heise Security

Quelle und Links : http://www.heise.de/newsticker/meldung/64471

[SiLæncer]

Die Personal Firewall ZoneAlarm von ZoneLabs gerät von zwei Seiten unter Druck: Findige Programmierer haben einen Weg gefunden, an ihr vorbei nach Hause zu telefonieren – und der Wächter sendet offenbar selbst munter Daten ins Netz.

Noch im c't-Test von Internet Security Suiten in Heft 2/06 glänzte ZoneAlarm Pro, weil es zumindest als einzige Personal Firewall im Testfeld ein kleines Demoprogramm daran hindern konnte, nach Hause zu telefonieren. Jetzt legte der Autor Volker Birk nach und veröffentlichte heute eine weitere Demo, die mit wenigen Zeilen Code auch ZoneAlarm austrickst. Ohne irgendwelche Warnungen der Personal Firewall nimmt ein Programm dabei Kontakt mit seinem Heimat-Server auf und könnte auch gleich beliebige Daten übermitteln. Der Trick: Das Programm erstellt eine HTML-Datei mit einem IFRAME, die es als Active-Desktop installiert. Dabei ruft das System die im IFRAME-Tag angegebene URL auf.

Zwar fordert ZoneAlarm den Anwender ständig auf, diese und jene Systemaktivität zu begutachten und dann entweder zu gestatten oder zu verbieten, doch diese fällt erneut durchs Raster. Es bestätigt sich einmal mehr, dass Programmierer im Zweifelsfall immer einen Weg finden, auch an einer Personal Firewall vorbei Daten ins Netz zu transportieren. Ins Netz der Wächter gehen nur 08/15-Schädlinge, die sich keine sonderliche Mühe geben, unbeobachtet zu bleiben.

Um so bitterer für die geplagten Anwender, dass der designierte Wächter offenbar selbst munter Daten nach Hause schickt, ohne dazu die Einwilligung des Anwenders einzuholen. Infoworld berichtet, dass ZoneAlarm verschlüsselte Daten an vier verschiedene Server übermittelt, obwohl der Autor alle Auto-Update-Optionen deaktiviert hatte. heise Security konnte in einem kurzen Test ebenfalls derartige Übertragungen beobachten.

Nach über zwei Monaten hätten die vom renommierten Firewall-Hersteller Checkpoint aufgekauften ZoneLabs dies nun als Software-Fehler eingestuft, den man beseitigen wolle, erklärt Infoworld. Besorgte Anwender könnten sich selbst behelfen, indem sie ihre hosts-Datei ändern und so die Zugriffe umleiten. Dies würde sie allerdings unter Umständen auch von Updates und Online-Hilfe abschneiden, ist also kaum empfehlenswert.

Quelle und Links : http://www.heise.de/security/news/meldung/68725

[SiLæncer]

In ZoneAlarm ist ein Beahvioural Blocker (OSFirewall) eingebaut, der schädliche Programme beispielsweise am Manipulieren der Registry hindern soll. Der dazu installierte Filtertreiber enthält laut dem Sicherheitsdienstleister MatouSec Security jedoch einen Implementierungsfehler, wodurch das System unter Umständen abstürzen kann; ein Neustart ist erforderlich.

Der Behavioural Blocker überwacht Windows-API-Funktionen wie RegSaveKey, RegRestoreKey and RegDeleteKey. Wendet man jedoch eine Kombination aus diesen Funktionen auf den Registry-Schlüssel HKLM\SYSTEM\CurrentControlSet\Services\VETFDDNT\Enum an, kommt die OSFirewall laut der Sicherheitsmeldung nicht mehr mit. Da der Filtertreiber im Kernel-Modus (Ring 0) arbeitet, zieht der Fehler das ganze System mit ins digitale Nirvana.

In der neuen ZoneAlarm-Version 6.5 haben die Entwickler den Filtertreiber etwas verbessert, hier müssen MatouSec zufolge die Aktionen zweimal durchgeführt werden, bis der Absturz eintritt. Dabei sei es egal, ob man die von der OSFirewall gemeldeten Modifizierungen an der Registry zulasse oder verbiete.

In der Sicherheitsmeldung stellen die Entdecker ein Programm bereit, dass dieses Verhalten demonstrieren soll. Bei einem Test von heise Security mit ZoneAlarm 6.5.725.000 konnten wir das Problem nicht nachvollziehen. Betroffen sind laut der Meldung die ZoneAlarm Internet Security Suite 6.5.722.000 und 6.1.737.000. Nicht betroffen seien ZoneAlarm Pro 6.1.744.001 und wahrscheinlich alle Versionen von ZoneAlarm Free und Pro.

Siehe dazu auch:

    * ZoneAlarm Insufficient protection of registry key 'VETFDDNT\Enum' Vulnerability, Sicherheitsmeldung von MatouSec Security
    * Download von ZoneAlarm Free

Quelle und Links : http://www.heise.de/security/news/meldung/75022

[SiLæncer]

Der Sicherheitsdienstleister iDefense hat Schwachstellen in mehreren Fassungen der ZoneAlarm-Sicherheitsprodukte von CheckPoint gemeldet. Durch die Lücken können lokale Anwender ihre Rechte im System ausweiten und die komplette Kontrolle darüber gewinnen.

Eine Lücke betrifft ZoneAlarm 5.5 und 6.5. Bei der Installation setzt die Software die Zugriffsrechte der Dateien im Programmverzeichnis so, dass sie jeder verändern kann. Dadurch können Benutzer mit eingeschränkten Zugriffsrechten beispielsweise einen der Dienste der Software durch eigene Programme ersetzen, die dann im Kernel-Modus ausgeführt werden.

Die zweite Lücke betrifft den Firewall-Treiber vsdatant.sys, der sogenannten TrueVector-Engine in ZoneAlarm 6.5. Dieser überprüft beim Aufruf die in den Interrupt-Request-Paketen (IRPs) an die Input-Output-Controls (IOCTLs) übergebenen Daten nicht korrekt, wodurch lokale Angreifer beliebige Speicherbereiche überschreiben können.

Laut iDefense hat CheckPoint die Fehler mit der Version 7.0.362 aller Produkte beseitigt. Aktuell ist hingegen ZoneAlarm 7.1, das auch unter Vista läuft. Nutzer von älteren ZoneAlarm-Fassungen sollten bei Gelegenheit auf Version 7.1 aktualisieren, da auch auf dem System eingenistete Schädlinge die Fehler missbrauchen und so den Rechner vollständig kompromittieren können.

Siehe dazu auch:

    * Check Point Zone Labs Multiple Products Privilege Escalation Vulnerability, Sicherheitsmeldung von iDefense
    * Check Point Zone Labs VSDATANT Multiple IOCTL Privilege Escalation Vulnerabilities, Fehlermeldung von iDefense

Quelle und Links : http://www.heise.de/security/news/meldung/94618/Rechteausweitung-in-ZoneAlarm