ZoneAlarm in drugi produkti podjetja Zone Labs Inc. vsebujejo ranljivost pri obdelavi SMTP sporočil, ki lahko napadalcu omogočijo izklop zaščitnih funkcij, ki jih nudi ZoneAlarm in zagon poljubne kode.
Opis
ZoneAlarm je razširjeno orodje za ščitenje računalnikov z Windows operacijskimi sistemi. ZoneAlarm opravlja funkcije protipožarne pregade (angl. firewall) in se uporablja tako za omejitev dostopa iz omrežja do računalnika, kot nadzor nad tem, katere aplikacije na računalniku lahko dostopajo do omrežja (oziroma pošiljajo podatke na omrežje).
Ranljivost se nanaša na obdelavo SMTP protokola (ki se uporablja za pošiljanje elektronske pošte) in lahko povzroči prepis programske kode (angl. buffer overfow). Rezultat prepisa je lahko zagon poljubne kode na računalniku, ki ima nameščen ZoneAlarm.
Za uspešno izrabo ranljivosti mora biti izpolnjen eden od naslednjih dveh pogojev:
- na računalniku teče poštni strežnik, ki sprejema elektronsko pošto z interneta po protokolu SMTP
- na računalniku se zažene program, ki namenoma pošlje posebej oblikovane podatko po SMTP protokolu, ki povzročijo prepis kode
Rešitev
ZoneAlarm je izdal popravke, ki so na voljo preko sistema posodobitev. Vsem uporabnikom svetujemo čimprejšnjo namestitev teh popravkov. Za namestitev popravkov izvedite naslednje korake:
- izberite “Overview -> Preferences”
- v razdelku “Check for updates” izberite način preverjanja obstoja popravkov (bodisi “Automatically” ali “Manually” in kliknite na “Check for Update”)
Podrobnejši opis ranljivosti
Ranljivost nastopi zaradi napake pri obdelavi RCPT TO sporočila SMTP strežniku. Ta ukaz poda naslovnika elektronske pošte. Če je podani naslov zelo dolg, pride do prepisa dela kode vsmon.exe procesa, ki lahko izvede poljubno kodo s privilegiji uporabnika SYSTEM.
Povezave
- Zone Labs Security Advisory: Zone Labs SMTP Processing Vulnerability
- eEye Advisory AD20040219: Zone Labs SMTP Processing Buffer Overflow