Abo
  • Services:
Anzeige
Login mit falschen Daten
Login mit falschen Daten (Bild: SEC/Screenshot: Golem.de)

Security: Gravierende Lücke in AVG Remote Administration

Nutzer, die das Fernwartungspaket AVG Remote Administration nutzen, sollten dringend einen aktuellen Patch installieren. Bisher war es möglich, dass Angreifer über das Programm Code einschleusen konnten - aber das ist nicht die einzige Lücke, weitere stehen noch offen.

Anzeige

Das Security-Unternehmen SEC Consult weist auf vier Lücken im Programm AVG Remote Administration hin. Entdeckt hat sie der Sicherheitsforscher Stefan Viehböck. Die Fehler stecken in der Client-Anwendung des Fernwartungspakets, dieses Programm führt auch die Authentifizierung über Passwörter durch. Diese werden vom Server verschlüsselt gesendet, aber nur auf dem Client geprüft.

Daher ist es möglich, das Clientprogramm so zu manipulieren, dass jedes Passwort akzeptiert wird. Ein Angreifer kann sich mit einem so präparierten Client so verbinden, als wäre er dessen Administrator, Einstellungen ändern, Daten abgreifen und so agieren, als säße er vor dem Rechner.

 
Video: Proof-of-Concept für Lücke in AVG Remote Administration

Eine weitere Lücke ermöglichte es bisher auch, über den Server des Remote-Systems Programme in den fremden Rechner einzuschleusen. Nach monatelangem Kontakt, so schreibt Viehböck in seinem Security-Advisory, habe sich AVG entschlossen, diese Lücke zu patchen - die anderen, so meint das Unternehmen, seien weniger kritisch. Dazu gehört auch eine mangelhafte Verschlüsselung des Protokolls, das die Fernwartungssoftware benutzt.

Viehböck hat zu den Lücken zwei Youtube-Videos erstellt, die seinen Proof-of-Concept im Einsatz zeigen. Er empfiehlt, die betroffenen AVG-Anwendungen nicht mehr zu nutzen und auch die Fernwartung auf den Clients zu deaktivieren. Wenn das nicht möglich ist, sollte zumindest der Patch gegen die Remote-Ausführung von Programmen installiert werden. Eine unmittelbare Stellungnahme von AVG zu den weiterhin nicht geschlossenen Lücken liegt noch nicht vor.

Nachtrag vom 8. Mai 2014, 18:05 Uhr

AVG hat sich inzwischen zu den Problemen wie folgt geäußert: "Die von SEC entdeckten Lücken wurden an die AVG-Entwicklung gemeldet. An einer Lösung arbeiten die Entwickler, eine Aktualisierung benötigt jedoch noch Zeit und muss umfangreiche Stabilitätstests bestehen. Neue Versionen erhalten die User im Rahmen ihrer regulären Updates." Ob nun also doch alle vier Lücken geschlossen werden sollen, geht daraus nicht hervor.


eye home zur Startseite
__fastcall 09. Mai 2014

Ist mir Bewusst, keiner haftet dafür. Sollte aber in solchen Fällen so sein. Die Kunden...



Anzeige

Stellenmarkt
  1. noris network AG, Nürnberg
  2. UnitCon GmbH, Darmstadt
  3. über 3C - Career Consulting Company GmbH, deutschlandweit (Home-Office)
  4. Schwarz IT Infrastructure & Operations Services GmbH & Co. KG, Neckarsulm


Anzeige
Top-Angebote
  1. und 15€ Cashback erhalten
  2. 17,99€ statt 29,99€
  3. (u. a. Assassins Creed IV Black Flag 9,99€, F1 2016 für 29,99€, XCOM 4,99€, XCOM 2 23,99€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  2. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  3. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  4. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe

  5. Urteil zu Sofortüberweisung

    OLG empfiehlt Verbrauchern Einkauf im Ladengeschäft

  6. Hearthstone

    Blizzard schickt Spieler in die Straßen von Gadgetzan

  7. Jolla

    Sailfish OS in Russland als Referenzmodell für andere Länder

  8. Router-Schwachstellen

    100.000 Kunden in Großbritannien von Störungen betroffen

  9. Rule 41

    Das FBI darf jetzt weltweit hacken

  10. Breath of the Wild

    Spekulationen über spielbare Zelda



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

Spielen mit HDR ausprobiert: In den Farbtopf gefallen
Spielen mit HDR ausprobiert
In den Farbtopf gefallen
  1. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  2. HDR Wir brauchen bessere Pixel
  3. Andy Ritger Nvidia will HDR-Unterstützung unter Linux

  1. Re: Wäre zu diesem Preis auch was für den Endkunden

    divStar | 05:43

  2. Re: Das Problem bei der NSA-Affäre ist, dass...

    divStar | 05:39

  3. Re: Wikileaks ist nicht mehr im Kreis der Freunde

    divStar | 05:27

  4. Re: Die einzige App die HoloLens braucht um sich...

    divStar | 05:26

  5. Re: Schon 2x deshalb nicht bei Völkner und 1x...

    ClausWARE | 04:47


  1. 18:27

  2. 18:01

  3. 17:46

  4. 17:19

  5. 16:37

  6. 16:03

  7. 15:34

  8. 15:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel