Programme, die Text mit Hilfe eines MUI Text-Objektes anzeigen, können mit bestimmten Escape-Sequenzen dazu gebracht werden, über aktive AWNPIPE:/APIPE: Devices Shell-Befehle auszuführen. Im Klartext: Es ist theoretisch möglich, beispielsweise mittels einer Mail mit gezielt manipulierter Betreff-Zeile YAM dazu zu bringen, auf dem Rechner des Empfängers Dateien zu löschen.

Es handelt sich nicht um einen Fehler in MUI oder AwnPIPE:, es sollte Aufgabe des Programmierers sein, derartige Sequenzen herauszufiltern, bevor aus dem Internet empfangener Text angezeigt wird.

Als erste Sicherheitsmaßnahme wird empfohlen, entweder betroffene Progamme nicht mehr zu benutzen, oder beim Booten keine AwnPIPE:/APIPE: Devices zu mounten (Icons aus SYS:Devs/DosDrivers/ entfernen).

Betroffene Applikationen sind beispielsweise YAM oder StrICQ.

NICHT betroffen sind die Produkte von Vaporware, offensichtlich werden die ESC-Sequenzen hier bereits herausgefiltert (ab welcher Version wird nicht erläutert).

Nachtrag:
Jens Langner, einer der Hauptprogrammierer von YAM weist darauf hin, dass ein Hotfix bereits in Arbeit ist, und es bald ein 2.3-fix Release geben wird, der diese Sicherheitslücke in YAM beseitigt.

Nachtrag II:
Hynek Schlawack und Sebastian Bauer werden für SimpleMail schnellstmöglich einen Fix veröffentlichen.

Nachtrag III:
Wie aus dem Originaltext hevorgeht, ist diese Exploitgefahr bei PIPE: wohl nicht gegeben, da diese keine Startmöglichkeiten bietet: "The standard AmigaOS PIPE: is not affected since it is incapable of executing commands". Daher wurde der obige Text entsprechend geändert. (ps)

[Meldung: 10. Nov. 2001, 18:07] [Kommentare: 18 - 12. Nov. 2001, 14:52]
[Per E-Mail versenden]  [Druck-Version]  [ASCII-Version]