VeriSign-ActiveX-Steuerelement ConfigChk unsicher

In einem Bericht meldet iDefense eine kritische Sicherheitslücke in dem ActiveX-Steuerelement ConfigChk, das in diversen VeriSign-Produkten wie Secure Messaging for Microsoft Exchange oder Go Secure! genutzt wird. Die Sicherheitslücke entsteht durch einen Verarbeitungsfehler in der Methode "VerCompare()". Angreifer, die zwei Parameter mit einer Länge von 28 Byte oder mehr an diese Methode übergeben, können unter Umständen einen Stack-basierten Pufferüberlauf ausführen und so eigenen Code ins System einspeisen. Nachgewiesen wurde die Sicherheitslücke in Version 2.0.0.2 der Datei "VSConfigChk.dll". Andere Versionen sind unter Umständen ebenfalls betroffen. Solange kein Patch verfügbar ist, sollte das betroffene ActiveX-Steuerelement deaktiviert werden. (twi)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.