Die Internet-Security-Suiten von Panda in den 2006er- und 2007er-Versionen ermöglichen Anwendern, ihre Rechte auszuweiten. Da die Software bei der Installation auf das Zielverzeichnis und die darin liegenden Dateien volle Rechte für die Gruppe "Jeder" vergibt, können auch Nutzer mit eingeschränkten Konten Dateien im Programmverzeichnis von Panda anlegen, überschreiben oder löschen.
Auf einem Testrechner gelang es heise Security, die Datei WebProxy.exe der Panda-Suite mit einem eingeschränkten Benutzerkonto durch ein anderes Programm zu ersetzen. Beim Neustart des Rechners startete das Programm automatisch und besaß SYSTEM-Rechte. Ein Schädling, der Pandas Filterung entgeht, kann sich so tief ins System einnisten.
Eine weitere Schwachstelle findet sich im Spam-Filter der Suiten. Diese starten einen lokalen Webserver, der auf Port 6083 lauscht. Um dem bayesischen Filter eine Mail als Spam zu melden, fügt der Spamfilter den E-Mails Links in der Gestalt
http://127.0.0.1:6083/Panda?ID=pav_8&SPAM=true hinzu. Die Nummer hinter der ID ist fortlaufend. Webseiten könnten den Spamfilter nutzlos machen, indem sie über eingebettete URLs beliebige Mails als Spam markieren. Dazu genügt es, dass der Anwender eine Webseite besucht, die etwa präparierte IMG-Tags enthält:
.
Betroffen sind laut der Sicherheitsmeldung von 3APA3A Pandas Internet-Security-Suite Platinum 2006 10.02.01 und 2007 11.00.00. Nach eigener Aussage hat 3APA3A schon Mitte August Panda Russland über die Schwachstellen informiert. Wann aktualisierte Versionen bereitstehen werden, konnte Panda auf Anfrage von heise Security noch nicht mitteilen.
Siehe dazu auch:
* Panda Platinum Internet Security 2006/2007 privilege escalation and bayesian filter control security vulnerabilities, Sicherheitsmeldung von 3APA3A
Quelle und Links :
http://www.heise.de/security/news/meldung/77940
