Aktuelles
Von:
Filter
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Sicherheitslücken in Microsofts WiX-Installer-Toolset gestopft.

1711389009618.png

Das quelloffene WiX-Installer-Toolset von Microsoft hat zwei Sicherheitslücken.

In Windows Installer XML (WiX) klaffen zwei hochriskante Sicherheitslücken.
Aktualisierte Versionen des quelloffenen Installer-Toolsets schließen sie.
Wer WiX nutzt, sollte die Aktualisierungen zeitnah installieren.

Wenn ein mit WiX erstellter Installer auf die Funktion RemoveFolderEx zugreift, können Nutzer mit eingeschränkten Rechten geschützte Verzeichnisse löschen.
Die Funktion soll einen ganzen Verzeichnisbaum während einer Installation oder Deinstallation löschen.
Ein Angreifer könnte in einem Benutzerverzeichnis eine Verzeichnisumleitung (Directory Junction) anlegen, die auf ein maschinenweites, geschütztes Verzeichnis weist, wenn Administratoren den Installer ausführen, löscht das dieses Verzeichnis (
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, CVSS 7.9, Risiko "hoch").

WiX-Installer lassen sich Dateien unterschieben.​

Außerdem können durch die Nutzung des unsicheren Verzeichnisses C:\Windows\Temp zum Ablegen und Laden von ausführbaren Dateien durch Nutzer mit geringen Rechten Binärdateien unterschieben, die dann etwa mit SYSTEM-Rechten ausgeführt werden (
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, CVSS 7.3, hoch).

Diejenigen, die mit WiX Installer gebaut haben, sollten ihre Software auf den aktuellen Stand bringen und idealerweise auch damit erstellte Installationspakete neu erstellen. Fehlerbereinigt sind WiX 3.14.1 und 4.0.5.
Um auf den neuen Stand zu aktualisieren, gibt es mehrere Möglichkeiten.
Am Einfachsten gelingt das etwa global mit dem Aufruf von, dotnet tool install --global wix --version 4.0.5- und lokal durch den Befehl, dotnet new tool-manifest # if you are setting up this repo dotnet tool install --local wix --version 4.0.5 in der Net-Kommandozeile, wie Microsofts Entwickler auf der
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
schreiben.

Das Wix-Projekt war das Erste, das Microsoft unter Open-Source-Lizenz herausgegeben hatte, dass hatte 2004 für einiges Aufsehen gesorgt.
Über einige Umwege endete WiX 2014 im
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
von Microsoft.

Quelle: heise online
 
Zum Vergrößern anklicken....

Ähnliche Themen

edgonzo
  • Artikel
Hardware & Software Microsoft Azure: Neue Sicherheitslücke! Mehrere Schwachstellen gemeldet
Antworten
0
Aufrufe
581
edgonzo
edgonzo
edgonzo
  • Artikel
Hardware & Software Webbrowser: Microsoft Edge-Update schließt Sicherheitslücken
Antworten
0
Aufrufe
791
edgonzo
edgonzo
edgonzo
  • Artikel
PC & Internet Jetzt dringend updaten: BSI warnt vor Sicherheitslücken in Microsoft Software.
Antworten
3
Aufrufe
1K
butlerpod123
B
u040201
  • Artikel
Hardware & Software Alert! Webkonferenzen: Zoom schließt mehrere Sicherheitslücken
Antworten
0
Aufrufe
704
u040201
u040201
u040201
  • Artikel
Hardware & Software Alert! Patchday: Microsoft meldet fünf Zero-Days, teils ohne Update
Antworten
0
Aufrufe
1K
u040201
u040201
Zurück
Oben