Abo
  • Services:
Anzeige
Login mit falschen Daten
Login mit falschen Daten (Bild: SEC/Screenshot: Golem.de)

Security: Gravierende Lücke in AVG Remote Administration

Nutzer, die das Fernwartungspaket AVG Remote Administration nutzen, sollten dringend einen aktuellen Patch installieren. Bisher war es möglich, dass Angreifer über das Programm Code einschleusen konnten - aber das ist nicht die einzige Lücke, weitere stehen noch offen.

Anzeige

Das Security-Unternehmen SEC Consult weist auf vier Lücken im Programm AVG Remote Administration hin. Entdeckt hat sie der Sicherheitsforscher Stefan Viehböck. Die Fehler stecken in der Client-Anwendung des Fernwartungspakets, dieses Programm führt auch die Authentifizierung über Passwörter durch. Diese werden vom Server verschlüsselt gesendet, aber nur auf dem Client geprüft.

Daher ist es möglich, das Clientprogramm so zu manipulieren, dass jedes Passwort akzeptiert wird. Ein Angreifer kann sich mit einem so präparierten Client so verbinden, als wäre er dessen Administrator, Einstellungen ändern, Daten abgreifen und so agieren, als säße er vor dem Rechner.

 
Video: Proof-of-Concept für Lücke in AVG Remote Administration

Eine weitere Lücke ermöglichte es bisher auch, über den Server des Remote-Systems Programme in den fremden Rechner einzuschleusen. Nach monatelangem Kontakt, so schreibt Viehböck in seinem Security-Advisory, habe sich AVG entschlossen, diese Lücke zu patchen - die anderen, so meint das Unternehmen, seien weniger kritisch. Dazu gehört auch eine mangelhafte Verschlüsselung des Protokolls, das die Fernwartungssoftware benutzt.

Viehböck hat zu den Lücken zwei Youtube-Videos erstellt, die seinen Proof-of-Concept im Einsatz zeigen. Er empfiehlt, die betroffenen AVG-Anwendungen nicht mehr zu nutzen und auch die Fernwartung auf den Clients zu deaktivieren. Wenn das nicht möglich ist, sollte zumindest der Patch gegen die Remote-Ausführung von Programmen installiert werden. Eine unmittelbare Stellungnahme von AVG zu den weiterhin nicht geschlossenen Lücken liegt noch nicht vor.

Nachtrag vom 8. Mai 2014, 18:05 Uhr

AVG hat sich inzwischen zu den Problemen wie folgt geäußert: "Die von SEC entdeckten Lücken wurden an die AVG-Entwicklung gemeldet. An einer Lösung arbeiten die Entwickler, eine Aktualisierung benötigt jedoch noch Zeit und muss umfangreiche Stabilitätstests bestehen. Neue Versionen erhalten die User im Rahmen ihrer regulären Updates." Ob nun also doch alle vier Lücken geschlossen werden sollen, geht daraus nicht hervor.


eye home zur Startseite
__fastcall 09. Mai 2014

Ist mir Bewusst, keiner haftet dafür. Sollte aber in solchen Fällen so sein. Die Kunden...



Anzeige

Stellenmarkt
  1. über USP SUNDERMANN CONSULTING, Hamburg
  2. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  3. BfS Bundesamt für Strahlenschutz, Berlin
  4. Statistisches Bundesamt, Wiesbaden


Anzeige
Top-Angebote
  1. (u. a. Angebote aus den Bereichen Games, Konsolen, TV, Film, Computer)
  2. 59,90€ statt 69,90€
  3. 299,00€ statt 399,00€

Folgen Sie uns
       


  1. Interview auf Youtube

    Merkel verteidigt Ziel von 1 Million Elektroautos bis 2020

  2. Ransomware

    Not-Petya-Angriff kostet Maersk 200 Millionen US-Dollar

  3. Spielebranche

    Mikrotransaktionen boomen zulasten der Kaufspiele

  4. Autonomes Fahren

    Fiat Chrysler kooperiert mit BMW und Intel

  5. Auto

    Toyota will Fahrzeugsäulen unsichtbar machen

  6. Amazon Channels

    Prime-Kunden erhalten Fußball-Bundesliga für 5 Euro im Monat

  7. Dex-Bytecode

    Google zeigt Vorschau auf neuen Android-Compiler

  8. Prozessor

    Intels Ice Lake wird in 10+ nm gefertigt

  9. Callya Flex

    Vodafone eifert dem Congstar-Prepaid-Tarif nach

  10. Datenbank

    MongoDB bereitet offenbar Börsengang vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

  1. Re: Wettbewerb begräbt das e-Auto nur noch schneller

    skeptiker2 | 05:48

  2. Re: 8 Milliarden Diesel-Subventionen pro Jahr

    mrgenie | 05:44

  3. Kommunistische/sozialistische Planwirtschaft

    mrgenie | 05:40

  4. Preis

    DarkWildcard | 05:15

  5. Re: Deswegen hat das nächste Vollpreis Mordor...

    Prinzeumel | 04:38


  1. 16:57

  2. 16:25

  3. 16:15

  4. 15:32

  5. 15:30

  6. 15:02

  7. 14:49

  8. 13:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel