Abo
  • Services:
Anzeige
Login mit falschen Daten
Login mit falschen Daten (Bild: SEC/Screenshot: Golem.de)

Security: Gravierende Lücke in AVG Remote Administration

Nutzer, die das Fernwartungspaket AVG Remote Administration nutzen, sollten dringend einen aktuellen Patch installieren. Bisher war es möglich, dass Angreifer über das Programm Code einschleusen konnten - aber das ist nicht die einzige Lücke, weitere stehen noch offen.

Anzeige

Das Security-Unternehmen SEC Consult weist auf vier Lücken im Programm AVG Remote Administration hin. Entdeckt hat sie der Sicherheitsforscher Stefan Viehböck. Die Fehler stecken in der Client-Anwendung des Fernwartungspakets, dieses Programm führt auch die Authentifizierung über Passwörter durch. Diese werden vom Server verschlüsselt gesendet, aber nur auf dem Client geprüft.

Daher ist es möglich, das Clientprogramm so zu manipulieren, dass jedes Passwort akzeptiert wird. Ein Angreifer kann sich mit einem so präparierten Client so verbinden, als wäre er dessen Administrator, Einstellungen ändern, Daten abgreifen und so agieren, als säße er vor dem Rechner.

 
Video: Proof-of-Concept für Lücke in AVG Remote Administration

Eine weitere Lücke ermöglichte es bisher auch, über den Server des Remote-Systems Programme in den fremden Rechner einzuschleusen. Nach monatelangem Kontakt, so schreibt Viehböck in seinem Security-Advisory, habe sich AVG entschlossen, diese Lücke zu patchen - die anderen, so meint das Unternehmen, seien weniger kritisch. Dazu gehört auch eine mangelhafte Verschlüsselung des Protokolls, das die Fernwartungssoftware benutzt.

Viehböck hat zu den Lücken zwei Youtube-Videos erstellt, die seinen Proof-of-Concept im Einsatz zeigen. Er empfiehlt, die betroffenen AVG-Anwendungen nicht mehr zu nutzen und auch die Fernwartung auf den Clients zu deaktivieren. Wenn das nicht möglich ist, sollte zumindest der Patch gegen die Remote-Ausführung von Programmen installiert werden. Eine unmittelbare Stellungnahme von AVG zu den weiterhin nicht geschlossenen Lücken liegt noch nicht vor.

Nachtrag vom 8. Mai 2014, 18:05 Uhr

AVG hat sich inzwischen zu den Problemen wie folgt geäußert: "Die von SEC entdeckten Lücken wurden an die AVG-Entwicklung gemeldet. An einer Lösung arbeiten die Entwickler, eine Aktualisierung benötigt jedoch noch Zeit und muss umfangreiche Stabilitätstests bestehen. Neue Versionen erhalten die User im Rahmen ihrer regulären Updates." Ob nun also doch alle vier Lücken geschlossen werden sollen, geht daraus nicht hervor.


eye home zur Startseite
__fastcall 09. Mai 2014

Ist mir Bewusst, keiner haftet dafür. Sollte aber in solchen Fällen so sein. Die Kunden...



Anzeige

Stellenmarkt
  1. INEOS Styrolution Group GmbH, Frankfurt am Main
  2. Universität Passau, Passau
  3. DYNAMIC ENGINEERING GMBH, München
  4. HELUKABEL GmbH, Hemmingen bei Stuttgart


Anzeige
Top-Angebote
  1. 99,00€ (Vergleichspreis ab ca. 129€)
  2. (u. a. Avatar, Whiplash, Fast & Furious 6, Braveheart, Forrest Gump, Das fünfte Element, Pain...
  3. 55,00€ (Vergleichspreis ab ca. 75€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Microsoft

    Besucher können die Hololens im Kennedy Space Center nutzen

  2. MacOS 10.12

    Fujitsu warnt vor der Nutzung von Scansnap unter Sierra

  3. IOS 10.0.2

    Apple beseitigt Ausfälle der Lightning-Audio-Kontrollen

  4. Galaxy Note 7

    Samsung tauscht das Smartphone vor der Haustür aus

  5. Falcon-9-Explosion

    SpaceX grenzt Explosionsursache ein

  6. Die Woche im Video

    Schneewittchen und das iPhone 7

  7. 950 Euro

    Abmahnwelle zu Pornofilm-Filesharing von Betrügern

  8. Jailbreak

    19-Jähriger will iPhone-7-Exploit für sich behalten

  9. Alle drei Netze

    Ericsson und Icomera bauen besseres Bahn-WLAN

  10. Oculus Rift

    Palmer Luckey im Netz als Trump-Unterstützer geoutet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
WatchOS 3.0 im Test: Die halbwegs gelungene App-Beschleunigung
WatchOS 3.0 im Test
Die halbwegs gelungene App-Beschleunigung
  1. IAA Nutzfahrzeuge Neue Smartwatch für mehr Sicherheit bei Lkws
  2. Android Wear Große Hersteller machen Smartwatch-Pause
  3. Ticwatch 2 Android-Wear-kompatible Smartwatch in 10 Minuten finanziert

Ilife V7S im Test: Günstiger China-Roboter saugt fast so gut wie Markengeräte
Ilife V7S im Test
Günstiger China-Roboter saugt fast so gut wie Markengeräte
  1. Wiper Blitz 2.0 im Test Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  2. Lernroboter-Test Besser Technik lernen mit drei Freunden
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

Endless Space 2 in der Vorschau: Bereits jetzt meisterlicher als Orion
Endless Space 2 in der Vorschau
Bereits jetzt meisterlicher als Orion

  1. Re: Da fehlt was!!!

    meav33 | 12:13

  2. Re: legaler rücktransport nahezu unmöglich

    Topf | 12:13

  3. Re: Wenn ich "Sierra" lese, denke ich sofort an..

    Siberian Husky | 12:07

  4. virales Marketing?

    felixgarbe | 11:44

  5. Re: Mal wieder viel dazugedichtet...

    doctorseus | 11:32


  1. 12:51

  2. 11:50

  3. 11:30

  4. 11:13

  5. 11:03

  6. 09:00

  7. 18:52

  8. 17:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel