Sicherheitsleck in Visual Basic 6

Dieses Thema im Forum "Netzwelt" wurde erstellt von Hardwarehunger, 14. September 2007 .

  1. 14. September 2007
    Sicherheitsleck in Visual Basic 6

    Visual-Basic-Programmierer können möglicherweise durch das Öffnen von präparierten Projektdateien (.vbp) Schadcode untergeschoben bekommen. Ein Perl-Skript aus dem milw0rm-Eploit-Archiv soll manipulierte vbp-Dateien erzeugen, die bei der Verarbeitung durch die Entwicklungsumgebung für Visual Basic 6 eine Schwachstelle ausnutzen und so beliebigen Code einschleusen und ausführen könnten.

    Ursache soll ein Pufferüberlauf bei der Verarbeitung der Projekt-Dateien sein, durch den Angreifer laut dem Exploit-Entwickler Koshi Schadcode beliebiger Größe einschleusen könnten. Abhilfe gibt es bislang nicht – möglicherweise entwickelt und veröffentlicht Microsoft aber im Rahmen des "extended Life-Cycle" der Visual-Basic-6-Entwicklungsumgebung bis zum 8. April 2008 noch einen Patch. Den Mainstream-Support haben die Redmonder bereits Ende März 2005 eingestellt. Bis zur Verfügbarkeit eines Sicherheits-Updates sollten Visual-Basic-6-Entwickler unaufgefordert per E-Mail zugesandte Projekte oder solche aus zweifelhaften Quellen nicht mit der betroffenen Entwicklungsumgebung öffnen.

    Quelle: Heise

    meine meinung:
    heise macht sich wieder lächerlich. als ob nen platziertes uc nicht die gleiche wirkung haben würde.
     
  2. 14. September 2007
    AW: Sicherheitsleck in Visual Basic 6

    1. Darauf fällt man eh nicht rein (es sei denn man ist sehr dumm)
    2. die Lücke ist schon 10 Tage alt => Hat Heise nichts zum schreiben, oder warum kommt die News so spät?
     
  3. 14. September 2007
    AW: Sicherheitsleck in Visual Basic 6

    zu 1: naja wenn man beispielsource läd kann man darauf reinfallen (aber ganuso auf die uc methode)
    zu 2: in sachen exploits sind die halt auch nicht immer auf dem aktuellen stand

    ps:
    der perl inject ist sogar schlechter als nen uc, denn man merkt dass die vbp sich vergrößert hat (merklich)
     
  4. 17. September 2007
    AW: Sicherheitsleck in Visual Basic 6

    dann werd ich eben auch ein bisschen aufpassen, wenn ich .vbp dateien öffne - bis das nächste update kommt
     
  5. 17. September 2007
    AW: Sicherheitsleck in Visual Basic 6

    es wird wohl kein update mehr geben. ist aber auch egal, denn es gibt ja virenscanner und ucs sind sowieso effektiver, da sie nicht an der vbp festgemacht werden können und der virenscanner diese nicht erkennt.
     
  6. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.