14.04.2004, 13:49
0
Das Sicherheitsportal K-otik hat auf seinen Seiten einen Exploit für den Tauschbörsen-Client eMule bis einschließlich Version 0.42d veröffentlicht. Der Exploit ermöglicht den Zugriff auf das System im Kontext des angemeldeten Benutzers -- unter Windows leider oft Administrator.
Genutzt wird ein bereits veröffentlichter Fehler in der Funktion DecodeBase16() zur Dekodierung von hexadezimalen Zeichenketten, die unter anderem für den internen Webserver und den IRC-Client zum Einsatz kommen. IRC und Webserver sind aber standardmäßig deaktiviert. Schon mit der Veröffentlichung der Fehlerbeschreibung war ein Proof-of-Concept-Exploit enthalten. Der nun in Perl geschriebene Exploit nutzt nur den Fehler im IRC-Client, um eine Remote-Shell zu öffnen. Anwender sollten so schnell wie möglich auf Version 0.42e wechseln.
Genutzt wird ein bereits veröffentlichter Fehler in der Funktion DecodeBase16() zur Dekodierung von hexadezimalen Zeichenketten, die unter anderem für den internen Webserver und den IRC-Client zum Einsatz kommen. IRC und Webserver sind aber standardmäßig deaktiviert. Schon mit der Veröffentlichung der Fehlerbeschreibung war ein Proof-of-Concept-Exploit enthalten. Der nun in Perl geschriebene Exploit nutzt nur den Fehler im IRC-Client, um eine Remote-Shell zu öffnen. Anwender sollten so schnell wie möglich auf Version 0.42e wechseln.