Das US-CERT hat eine Sicherheitslücke in einem ActiveX-Modul des Kameraherstellers Axis gemeldet, durch die Angreifer mit präparierten Webseiten beliebigen Code auf Rechner betroffener Nutzer einschmuggeln können. Die Komponente stammt von der Kamera-Software und ist als "safe for scripting" markiert, wodurch Webseiten sie im Internet Explorer einbinden können.
Die Datei AxisCamControl.ocx stellt die fehlerhafte ActiveX-Komponente CamImage beziehungsweise Axis Camera Control bereit. Der Fehler kann beim Aufruf der Funktion SaveBMP() auftreten und führt zu einem Pufferüberlauf. Auf der Homepage des Herstellers können Anwender eine aktualisierte Fassung des ActiveX-Moduls herunterladen. Wenn jedoch ein Update zurzeit nicht infrage kommt, sollten Anwender das Killbit für die ClassID {917623D1-D8E5-11D2-BE8B-00104B06BDE3} setzen.
Auch beim Month of ActiveX Bugs haben die Initiatoren weitere Sicherheitslücken in ActiveX-Komponenten gemeldet. Es handelt sich dabei allerdings um eher weniger bekannte und verbreitete Module: ActSoft DVD-Tools (dvdtools.ocx 3.8.5.0), East Wind Software (advdaudio.ocx 1.5.1.1), Sienzo Digital Music Mentor 2.6.0.4 (DSKernel2.dll) und Versalsoft HTTP File Uploader (UFileUploaderD.dll), in denen ein Pufferüberlauf auftreten kann. Die Hersteller der betroffenen Produkte bieten bislang noch keine aktualisierten Versionen an, die die Fehler beheben würden.
Siehe dazu auch:
* Axis Communications CamImage ActiveX control stack buffer overflow, Sicherheitsmeldung vom US-CERT
* Download und Installation des aktualisierten ActiveX-Moduls von Axis
Quelle und Links :
http://www.heise.de/security/news/meldung/89361
