DVB-Cube <<< Das deutsche PC und DVB-Forum >>>

PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 29 Januar, 2008, 10:29

Titel: Ungewollte Fernwartung für UltraVNC-Clients
Beitrag von: SiLæncer am 29 Januar, 2008, 10:29

Ein Sicherheitsupdate für den zum UltraVNC-Server gehörenden vncviewer soll verhindern, dass Angreifer einen Windows-PC unter ihre Kontrolle bekommen können. Laut Beschreibung der Entwickler lässt sich dafür eine nicht näher beschriebene Schwachstelle beim Betrieb des vncviewers im Listening-Mode sowie bei der Verbindung zu einem bösartigen UltraVNC-Server ausnutzen. Sofern der Viewer im Listening-Mode arbeitet, kann ein Server eine Verbindung zu ihm etablieren.

Das Problem soll ebenfalls auftreten, wenn das DSM-Plug-in zur Verschlüsselung der Kommunikation aktiv ist. Allerdings muss ein Angreifer dann einen gültigen Schlüssel besitzen. Der Server selbst ist von den Problemen nicht betroffen. Laut Meldung auf uvnc.com ist der Fehler in den Versionen 1.0.2 (stable) und allen Release Candidates von 1.0.4 zu finden. Die Entwickler empfehlen, das Viewer-Update so schnell wie möglich herunterzuladen und zu installieren oder den Listening-Mode zu deaktivieren und sich nur zu vertrauenswürdigen Servern zu verbinden.

UltraVNC ist eine Server-Client-Software unter Windows für den Zugriff auf GUI, Maus und Tastatur eines entfernten Rechners.

Siehe dazu auch:

    * WARNING: vulnerability found in the vncviewer..., Fehlerbericht im uvnc-Forum

Quelle : http://www.heise.de/security/Ungewollte-Fernwartung-fuer-UltraVNC-Clients--/news/meldung/102605

Titel: Schwachstellen in Fernwartungstools UltraVNC und TightVNC
Beitrag von: SiLæncer am 04 Februar, 2009, 17:25

Fehler in den VNC-Viewern von UltraVNC und TightVNC sollen sich ausnutzen lassen, um den Client eines Anwenders zu kompromittieren. Dazu muss sich das Opfer allerdings mit einem präparierten VNC-Server verbinden. Ursache der Probleme sind laut Core Security, dem Entdecker der Lücken, mehrere Integer Overflows in Funktionen in ClientConnection.cpp. Beide Programme beruhen auf der gleichen Codebasis.

Die Fehler wurden in den Versionen UltraVNC 1.0.2 und 1.0.5 sowie TightVNC 1.3.9 entdeckt, vermutlich sind auch vorhergehende Versionen verwundbar. In UltraVNC 1.0.5.4 und TightVNC 1.3.10 sollen die Fehler behoben sein. Während die neue Version von UltraVNC bereits verfügbar ist, müssen TightVNC-Anwender laut Bericht noch bis zum 10. Februar auf das Erscheinen der aktualisierten Version warten. Immerhin ist der Fehler im TightVNC-Repository bereits behoben.

Siehe dazu auch:

    * New VNCVIEWER vulnerability found and fixd (http://forum.ultravnc.info/viewtopic.php?t=14654), Bericht von UltraVNC
    * VNC Multiple Integer Overflows (http://www.coresecurity.com/content/vnc-integer-overflows), Bericht von Core Security

Quelle : www.heise.de