Kritische Sicherheitslücke in UltraVNC gemeldet

Nach einer Meldung von Secunia wurde die Sicherheitslücke für Version 1.0.2 von UltraVNC bestätigt. Laut verschiedenen Berichten sind zudem Release Candidates, die vor dem 25. Januar 2008 erschienen sind, von Version 1.0.4 betroffen. Die Schwachstelle entsteht in der Funktion „ClientConnection::NegotiateProtocolVersion()“ in Form eines Begrenzungsfehlers. Durch gezielte Manipulation von Daten, die an den UltraVNC Client gesendet werden, beispielsweise durch einen präparierten VNC Server, kann unter Umständen ein Stack-basierter Pufferüberlauf ausgelöst werden, mit dessen Hilfe Angreifer beliebigen Code in betroffene Systeme einspeisen können. Der Hersteller bietet auf seiner Webseite eine aktualisierte Version an, die den Mangel beseitigt. (vgw)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.