SECurity Message Service: Sicherheitslücke - "SAS for Windows" Buffer Overflow ermöglich
SEC Consult Unternehmensberatung GmbH

SECurity Message Service: Sicherheitslücke - "SAS for Windows" Buffer Overflow ermöglicht Codeausführung

ID: 1025567
(ots) - "SAS for Windows" ist Teil einer Software zur
statistischen Analyse, Data-Mining sowie Business Intelligence. Die
Software wurde vom Hersteller SAS Institute Inc. mit einer kritischen
Sicherheitslücke [1] ausgeliefert. Entdeckt wurden die
Sicherheitsschwachstellen durch einen routinemäßigen
Sicherheitscrashtest - durchgeführt von den Experten des SEC Consult
Vulnerability Labs (www.sec-consult.com).

Die Sicherheitslücke ermöglicht es staatlich finanzierten oder
kriminellen Hackern eine manipulierte SAS-Datei zu erstellen, die
beim Aufruf mittels "SAS for Windows" dem Angreifer vollständige
Kontrolle über den angegriffenen Computer gewährt. Dadurch kann der
Angreifer manipulierte SAS-Dateien in Phishing Mails versenden, um
anschließend über einen kompromittierten Desktop-Computer weitere
Angriffe im internen Unternehmensnetzwerk durchzuführen.

Die Experten des SEC Consult Vulnerability Labs konnten während
des Crashtests die Schwachstelle erfolgreich ausnutzen, aktuelle
Schutzmechanismen unter einer Standard Windows 7 Installation (mit
installierter Firewall sowie einem aktuellen Anti-Viren-Programm)
umgehen und den angegriffenen Computer über das Internet fernsteuern.

Die SEC Consult Experten raten daher zur umgehenden Installation
der bereits verfügbaren Hersteller-Patches [2]. Weiters empfiehlt SEC
Consult Nutzern von SAS-Produkten, vom Hersteller umfassendere
Sicherheitstests durch (europäische) Sicherheitsexperten
einzufordern.

[1] SEC Consult Advisory
https://www.sec-consult.com/en/Vulnerability-Lab/Advisories.htm

[2] SAS 9.4 TS 1M0 -
http://ftp.sas.com/techsup/download/hotfix/HF2/L08.html#L08004

SAS 9.3 TS 1M2 -
http://ftp.sas.com/techsup/download/hotfix/HF2/I22.html#I22069

SAS 9.2 TS 2M3 -
http://ftp.sas.com/techsup/download/hotfix/HF2/B25.html#B25260



Rückfragehinweis:
Johannes Greil, MSc
Head of SEC Consult Vulnerability Lab
Tel.: +43 1 890 30 43 -0
mailto:research@sec-consult.com

Themen in dieser Pressemitteilung:

unternehmen



Unternehmensinformation / Kurzprofil:
drucken  als PDF  an Freund senden  BVDW-Fokusgruppen wählen Vorsitzende ProSiebenSat.1 Group erwirbt Aeria Games Europe
Bereitgestellt von Benutzer: ots
Datum: 27.02.2014 - 12:01 Uhr
Sprache: Deutsch
News-ID 1025567
Anzahl Zeichen: 2243

Kontakt-Informationen:
Stadt:

Wien



Kategorie:

Wirtschaft (allg.)



Diese Pressemitteilung wurde bisher 230 mal aufgerufen.

Juristisches zu dieser Pressemitteilung

Die Pressemitteilung mit dem Titel:
"SECurity Message Service: Sicherheitslücke - "SAS for Windows" Buffer Overflow ermöglicht Codeausführung"
steht unter der journalistisch-redaktionellen Verantwortung von

SEC Consult Unternehmensberatung GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

PresseMitteilung löschen Pressemitteilung ändern PresseMitteilung beanstanden
Weitere Pressemitteilungen von SEC Consult Unternehmensberatung GmbH

Alle Meldungen von SEC Consult Unternehmensberatung GmbH


 

Werbung



Facebook

Sponsoren

foodir.org The food directory für Deutschland
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z