Die Firma IntelliAdmin hat offenbar einen Fehler in der Fernwartungssoftware RealVNC entdeckt, der den Zugang ohne Passwort erlaubt. Über Virtual Network Computing (VNC) kann sich ein Administrator übers Netz den aktuellen Bildschirm eines entfernten Rechners auf den eigenen Desktop holen und ihn dort sogar (fern-)bedienen.
Normalerweise erfordert der Zugriff die Angabe eines speziellen Passworts. Dies lässt sich laut IntelliAdmin jedoch leicht umgehen. Details verrät IntelliAdmin nicht, eine angebliche Demo-Seite ist nicht mehr verfügbar und auch RealVNC hüllt sich in Schweigen. Allerdings hat der Hersteller nun neue Versionen für die kostenlose Ausgabe (4.1.2), die Personal (4.2.3) und die Enterprise Edition (4.2.4) veröffentlicht, die mit der Notiz: "FIXED: Security vulnerability." versehen sind.
Da ein Passwortschutz ohnehin unzureichend ist, sollte man den Zugang zu VNC über eine Firewall auf das lokale Netz beschränken. Fernwartung übers Internet ist durch zusätzliche Verschlüsselung und Authentifizierung zum Beispiel im Rahmen eines VPN abzusichern.
Siehe dazu auch:
* Security flaw in RealVNC 4.1.1 von IntelliAdmin
* VNC 4.1 - Release Notes von RealVNC
Quelle und Links :
http://www.heise.de/security/news/meldung/73071
