Skoči na vsebino

SI-CERT 2004-01 / ZoneAlarm SMTP ranljivost

ZoneAlarm in drugi produkti podjetja Zone Labs Inc. vsebujejo ranljivost pri obdelavi SMTP sporočil, ki lahko napadalcu omogočijo izklop zaščitnih funkcij, ki jih nudi ZoneAlarm in zagon poljubne kode.

Opis

ZoneAlarm je razširjeno orodje za ščitenje računalnikov z Windows operacijskimi sistemi. ZoneAlarm opravlja funkcije protipožarne pregade (angl. firewall) in se uporablja tako za omejitev dostopa iz omrežja do računalnika, kot nadzor nad tem, katere aplikacije na računalniku lahko dostopajo do omrežja (oziroma pošiljajo podatke na omrežje).

Ranljivost se nanaša na obdelavo SMTP protokola (ki se uporablja za pošiljanje elektronske pošte) in lahko povzroči prepis programske kode (angl. buffer overfow). Rezultat prepisa je lahko zagon poljubne kode na računalniku, ki ima nameščen ZoneAlarm.

Za uspešno izrabo ranljivosti mora biti izpolnjen eden od naslednjih dveh pogojev:

  • na računalniku teče poštni strežnik, ki sprejema elektronsko pošto z interneta po protokolu SMTP
  • na računalniku se zažene program, ki namenoma pošlje posebej oblikovane podatko po SMTP protokolu, ki povzročijo prepis kode 

Rešitev 

ZoneAlarm je izdal popravke, ki so na voljo preko sistema posodobitev. Vsem uporabnikom svetujemo čimprejšnjo namestitev teh popravkov. Za namestitev popravkov izvedite naslednje korake:

  1. izberite “Overview -> Preferences”
  2. v razdelku “Check for updates” izberite način preverjanja obstoja popravkov (bodisi “Automatically” ali “Manually” in kliknite na “Check for Update”) 

Podrobnejši opis ranljivosti 

Ranljivost nastopi zaradi napake pri obdelavi RCPT TO sporočila SMTP strežniku. Ta ukaz poda naslovnika elektronske pošte. Če je podani naslov zelo dolg, pride do prepisa dela kode vsmon.exe procesa, ki lahko izvede poljubno kodo s privilegiji uporabnika SYSTEM.

Povezave

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več