Sicherheitslücke in Seti@home-Client

Der Seti@home-Client, der vom gleichnamigen Projekt zur Suche nach außerirdischem Leben eingesetzt wird, birgt Sicherheitsrisiken. Ein aktualisierter Client (Version 3.08) soll die Probleme beheben.

Laut Seti@home steckt im Client ein ungeprüfter Puffer, der mit speziellen Eingaben zum Überlaufen gebracht werden kann. Nach Angaben des Seti-Projekts müsste ein Angreifer dafür zuerst erreichen, dass sich der Client mit einem anderen Server als dem offiziellen Seti@home-Server verbindet (Spoofing). Nach Kenntnis der Entwickler dürfte es einen solchen Angriff noch nicht gegeben haben. Daher wird das hier erhältliche Update für Windows und Mac OS von den Betreuern des Projektes an der Universität Berkeley als vorbeugend bezeichnet. Allerdings ließe sich im Fall eines erfolgreichen Angriffs beliebiger Code ausführen.

Näheres dazu beschreibt der Entdecker der Lücke auf dieser Webseite. Neben den Clients soll auch die Serverversion eine Buffer-Overflow-Lücke mitbringen. Darüber könne eine DoS-Attacke stattfinden. Zudem bemängelt der Entecker der Schwachstellen, Berend-Jan Wever, dass die Seti-Clients Informationen zum jeweiligen Rechner im Klartext übermitteln.

Linux-Benutzern steht bislang noch kein aktualisiertes Tool zur Verfügung. (uba)