SECurity Message Service: Sicherheitslücke - "SAS for Windows" Buffer Overflow ermöglicht Codeausführung

(ots) - "SAS for Windows" ist Teil einer Software zur
statistischen Analyse, Data-Mining sowie Business Intelligence. Die
Software wurde vom Hersteller SAS Institute Inc. mit einer kritischen
Sicherheitslücke [1] ausgeliefert. Entdeckt wurden die
Sicherheitsschwachstellen durch einen routinemäßigen
Sicherheitscrashtest - durchgeführt von den Experten des SEC Consult
Vulnerability Labs (www.sec-consult.com).

Die Sicherheitslücke ermöglicht es staatlich finanzierten oder
kriminellen Hackern eine manipulierte SAS-Datei zu erstellen, die
beim Aufruf mittels "SAS for Windows" dem Angreifer vollständige
Kontrolle über den angegriffenen Computer gewährt. Dadurch kann der
Angreifer manipulierte SAS-Dateien in Phishing Mails versenden, um
anschließend über einen kompromittierten Desktop-Computer weitere
Angriffe im internen Unternehmensnetzwerk durchzuführen.

Die Experten des SEC Consult Vulnerability Labs konnten während
des Crashtests die Schwachstelle erfolgreich ausnutzen, aktuelle
Schutzmechanismen unter einer Standard Windows 7 Installation (mit
installierter Firewall sowie einem aktuellen Anti-Viren-Programm)
umgehen und den angegriffenen Computer über das Internet fernsteuern.

Die SEC Consult Experten raten daher zur umgehenden Installation
der bereits verfügbaren Hersteller-Patches [2]. Weiters empfiehlt SEC
Consult Nutzern von SAS-Produkten, vom Hersteller umfassendere
Sicherheitstests durch (europäische) Sicherheitsexperten
einzufordern.

[1] SEC Consult Advisory
https://www.sec-consult.com/en/Vulnerability-Lab/Advisories.htm

[2] SAS 9.4 TS 1M0 -
http://ftp.sas.com/techsup/download/hotfix/HF2/L08.html#L08004

SAS 9.3 TS 1M2 -
http://ftp.sas.com/techsup/download/hotfix/HF2/I22.html#I22069

SAS 9.2 TS 2M3 -
http://ftp.sas.com/techsup/download/hotfix/HF2/B25.html#B25260



Rückfragehinweis:
Johannes Greil, MSc
Head of SEC Consult Vulnerability Lab
Tel.: +43 1 890 30 43 -0
mailto:research@sec-consult.com

Themen in dieser Pressemitteilung:


Unternehmensinformation / Kurzprofil:
Bereitgestellt von Benutzer: ots
Datum: 27.02.2014 - 12:01 Uhr
Sprache: Deutsch
News-ID 1025567
Anzahl Zeichen: 2243

Kontakt-Informationen:
Stadt:

Wien

Kategorie:

Wirtschaft (allg.)

Diese Pressemitteilung wurde bisher 261 mal aufgerufen.

Weitere Mitteilungen von SEC Consult Unternehmensberatung GmbH

ProSiebenSat.1 Group erwirbt Aeria Games Europe ...
Die ProSiebenSat.1 Group stärkt ihr Games-Geschäft und erwirbt über ihr Tochterunternehmen ProSiebenSat.1 Games den Online- und Mobile Games-Publisher Aeria Games Europe. Die Vereinbarung umfasst den Geschäftssitz des Unternehmens in Berlin, inklusive aller internationalen Spiel-Lizenzen für P

BVDW-Fokusgruppen wählen Vorsitzende ...
Audio, Bewegtbild, Digital Commerce, Mobile, Realtime Advertising, Search, Social Media und Targeting: Die acht Fokusgruppen im Bundesverband Digitale Wirtschaft (BVDW) e.V. haben ihre Vorsitzenden für jeweils zwei Jahre gewählt. Die Fokusgruppen bilden innerhalb der neuen Verbandsstruktur zusamm

Biofrontera AG: Biofrontera erweitert die Belixos® Wirkkosmetikserie ...
Seit heute ist das Haartonikum Belixos® LIQUID, eine intensive Pflege für juckende, schuppende und schnell fettende Kopfhaut, im Handel erhältlich. Dieses Produkt ist das zweite in der Belixos® Wirkkosmetikserie und wird über Apotheken und einen eigenen Onlineshop (http://www.belixos.com/shop.

Ingram Micro stärkt Marktführerschaft durch ein neues europäisches Geschäftsmodell ...
Ingram Micro Inc. gab heute ihre Pläne zur Umwandlung der gegenwärtigen europäischen Organisation in ein einheitliches paneuropäisches Geschäftsmodell bekannt. Ziel dieser Neuaufstellung ist es, die Zusammenarbeit mit Herstellern, Kunden und anderen Geschäftspartnern deutlich zu verbessern. D