Abo
  • Services:

Norton Download Manager: Sicherheitslücke ermöglicht untergeschobene DLLs

Ausgerechnet das Installationsprogramm für eine Antivirussoftware hat ein Sicherheitsproblem. Angreifer könnten Symantec-Nutzern darüber manipulierte DLL-Dateien unterschieben.

Artikel veröffentlicht am ,
Sicherheitsforscher von Symatec bei der Arbeit.
Sicherheitsforscher von Symatec bei der Arbeit. (Bild: Ho New/Reuters)

Eine Sicherheitslücke in Nortons Download Manager ermöglicht Angreifern, Nutzern gefälschte DLLs unterzuschieben und so einen Rechner zu kompromittieren. Norton selbst weist auf das Problem mit der CVE-Nummer 2016-6592 hin und empfiehlt ein umgehendes Update. Betroffen sind Download-Manager-Versionen mit den Versionsnummern 5.6 und niedriger.

Stellenmarkt
  1. MediaNet GmbH Netzwerk- und Applikations-Service, Freiburg im Breisgau
  2. BWI GmbH, Bonn, Meckenheim, Koblenz

Der Download Manager wird genutzt, um andere Symantec-Produkte auf den Rechner herunterzuladen. Zu den betroffenen Programmen gehört Norton Family, Norton Antivirus, Norton 360, Norton 360 Premier und die Symantec Endpoint Protection Cloud.

Nutzer können DLLs untergeschoben bekommen

Der Fehler geht darauf zurück, dass frühere Versionen des Download Managers keine absoluten Pfade nutzten, um DLLs zu finden. Angreifer könnten eine manipulierte DLL-Datei in den Suchpfad des Download Managers einschleusen. Die präparierte DLL-Datei würde dann mit den gleichen Rechten ausgeführt, die der ausführende Nutzer besitzt.

Grundsätzlich wäre es möglich, die Schwachstelle auch aus der Ferne auszunutzen. Dazu müsste ein automatischer Download der präparierten Datei angestoßen werden, danach müsste der Nutzer den Download Manager starten. Vorstellbar wäre es, ein solches Vorgehen per Social Engineering anzustoßen.

Der Norton Download Manager wird nicht über die Liveupdate-Funktion von Symantec aktualisiert. Nutzer müssen das Programm also von der Seite von Norton manuell herunterladen. Wer das Programm bereits heruntergeladen hat, die gewünschte Norton-Software aber noch nicht installiert hat, sollte das Programm daher manuell erneut laden und ausführen.

Symantec bedankt sich bei den Sicherheitsforschern Sachin M. Wagh, Praveen Singh und Takashi Yoshikawa für die Meldung der Sicherheitslücke. Immer wieder finden Sicherheitsforscher zum Teil kritische Sicherheitslücken in Antivirusprodukten. In der vergangenen Woche wurde zudem bekannt, dass Symantec dabei erwischt wurde, illegal Zertifikate für Testdomains auszustellen.



Anzeige
Spiele-Angebote
  1. 16,82€
  2. 33,99€
  3. 14,99€

xmaniac 24. Jan 2017

...die Experten von der Schlangenölindustrie halt...


Folgen Sie uns
       


BMW stellt seinen Formel-E-Rennwagen vor - Bericht

BMW setzt auf elektrischen Motorsport: Die Münchener treten als zweiter deutscher Autohersteller in der Rennserie Formel E an. BMW hat in München das Fahrzeug für die Saison 2018/19 vorgestellt.

BMW stellt seinen Formel-E-Rennwagen vor - Bericht Video aufrufen
Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

SpaceX: Milliardär will Künstler mit zum Mond nehmen
SpaceX
Milliardär will Künstler mit zum Mond nehmen

Ein japanischer Milliardär ist der mysteriöse erste Kunde von SpaceX, der um den Mond fliegen will. Er will eine Gruppe von Künstlern zu dem Flug einladen. Die Pläne für das Raumschiff stehen kurz vor der Fertigstellung.
Von Frank Wunderlich-Pfeiffer

  1. Mondwettbewerb Niemand gewinnt den Google Lunar X-Prize

Energietechnik: Die Verlockung der Lithium-Luft-Akkus
Energietechnik
Die Verlockung der Lithium-Luft-Akkus

Ein Akku mit der Energiekapazität eines Benzintanks würde viele Probleme lösen. In der Theorie ist das möglich. In der Praxis ist noch viel Arbeit nötig.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos CDU will Bau von Akkuzellenfabriken subventionieren
  2. Brine4Power EWE will Strom unter der Erde speichern
  3. Forschung Akku für Elektroautos macht es sich im Winter warm

    •  /