Du musst Regestriert sein, um das angehängte Bild zusehen.
Das quelloffene WiX-Installer-Toolset von Microsoft hat zwei Sicherheitslücken.
In Windows Installer XML (WiX) klaffen zwei hochriskante Sicherheitslücken.
Aktualisierte Versionen des quelloffenen Installer-Toolsets schließen sie.
Wer WiX nutzt, sollte die Aktualisierungen zeitnah installieren.
Wenn ein mit WiX erstellter Installer auf die Funktion RemoveFolderEx zugreift, können Nutzer mit eingeschränkten Rechten geschützte Verzeichnisse löschen.
Die Funktion soll einen ganzen Verzeichnisbaum während einer Installation oder Deinstallation löschen.
Ein Angreifer könnte in einem Benutzerverzeichnis eine Verzeichnisumleitung (Directory Junction) anlegen, die auf ein maschinenweites, geschütztes Verzeichnis weist, wenn Administratoren den Installer ausführen, löscht das dieses Verzeichnis (CVE-2024-29188, CVSS 7.9, Risiko "hoch").
WiX-Installer lassen sich Dateien unterschieben.
Außerdem können durch die Nutzung des unsicheren Verzeichnisses C:\Windows\Temp zum Ablegen und Laden von ausführbaren Dateien durch Nutzer mit geringen Rechten Binärdateien unterschieben, die dann etwa mit SYSTEM-Rechten ausgeführt werden (CVE-2024-29187, CVSS 7.3, hoch).Diejenigen, die mit WiX Installer gebaut haben, sollten ihre Software auf den aktuellen Stand bringen und idealerweise auch damit erstellte Installationspakete neu erstellen. Fehlerbereinigt sind WiX 3.14.1 und 4.0.5.
Um auf den neuen Stand zu aktualisieren, gibt es mehrere Möglichkeiten.
Am Einfachsten gelingt das etwa global mit dem Aufruf von, dotnet tool install --global wix --version 4.0.5- und lokal durch den Befehl, dotnet new tool-manifest # if you are setting up this repo dotnet tool install --local wix --version 4.0.5 in der Net-Kommandozeile, wie Microsofts Entwickler auf der Projektseite von WiX schreiben.
Das Wix-Projekt war das Erste, das Microsoft unter Open-Source-Lizenz herausgegeben hatte, dass hatte 2004 für einiges Aufsehen gesorgt.
Über einige Umwege endete WiX 2014 im .Net-Repository-System NuGet.org von Microsoft.
Quelle: heise online
