image

Lek in groot aantal Corel-producten onthuld

dinsdag 13 januari 2015, 09:55 door Redactie, 9 reacties

Een beveiligingsbedrijf heeft een lek in een groot aantal producten van Corel Software onthuld waardoor een aanvaller in bepaalde gevallen kwaadaardige code op een computer kan uitvoeren. In totaal gaat het om zes verschillende lekken die allemaal op hetzelfde probleem betrekking hebben: "DLL hijacking".

Als Corel Software een met Corel-geassocieerd bestand opent, wordt in de directory van dit bestand naar DLL-bestanden gezocht om te laden. DLL staat voor dynamic-link library en het bestandsformaat is hetzelfde als dat van exe-bestanden. Net als exe-bestanden kan een DLL-bestand code, data en resources bevatten. In het geval van Corel Software kan een aanvaller in dezelfde directory als het Corel-bestand een kwaadaardig DLL-bestand plaatsen.

Als de gebruiker het Corel-bestand opent wordt ook het kwaadaardige DLL-bestand geopend, waardoor er bijvoorbeeld malware op het systeem kan worden geïnstalleerd. Het probleem is onder andere aanwezig in CorelDRAW,Corel Photo-Paint, Corel PaintShop Pro, Corel CAD, Corel Painter, Corel PDF Fusion, Corel VideoStudio en Corel FastFlick, zo meldt beveiligingsbedrijf Core Security. Het beveiligingsbedrijf probeerde Corel Software op 9 december vorig jaar te waarschuwen, maar kreeg zowel via e-mail als Twitter geen contact met Corel, waarop de details nu openbaar zijn gemaakt.

Reacties (9)
13-01-2015, 10:07 door Anoniem
ownee! ik zal het jaar 1985 even bellen.
Geen wonder dat je Corel niet meer kunt mailen of twitteren.
13-01-2015, 10:49 door Mysterio
Door Anoniem: ownee! ik zal het jaar 1985 even bellen.
Geen wonder dat je Corel niet meer kunt mailen of twitteren.
Euh.... juist... ze zijn nog steeds 'alive and kicking'.

OT: Slordig van Corel. Ik zal ze zo even bellen ;)
13-01-2015, 11:52 door Anoniem
Hier spelt het gebruikersgemak voor plaatsen van code en doen van updates een grote rol. Van oudsher wordt de current directory gezien als veilig om programma's uit te voeren want in beheer en in control bij de bediener. De gewoonte van het puntje in het path libpath helpt daarbij. Zero impact programma-s worden op deze manier gepromoot als self-service. Je hebt geen IT-organisatie nodig om het programma te gan draaien.

Prachtig dan komt er een klik klik gebuiker langs die let niet op wat er aan programmatuur staat of door iemand anders voor hem daar is neergezet.
Ik lees geen fouten / privilege escalatie in de corel dll-s, alleen dit algemene principe. citeer: "Corel Painter looks for a DLL file called "wacommt.dll" and does not control its path"

Is dit wel een echt gat of gaat het om de aandacht?
13-01-2015, 12:38 door mcb
Door Anoniem 11:52: Hier spelt het gebruikersgemak voor plaatsen van code en doen van updates een grote rol. Van oudsher wordt de current directory gezien als veilig om programma's uit te voeren want in beheer en in control bij de bediener. De gewoonte van het puntje in het path libpath helpt daarbij. Zero impact programma-s worden op deze manier gepromoot als self-service. Je hebt geen IT-organisatie nodig om het programma te gan draaien.

Prachtig dan komt er een klik klik gebuiker langs die let niet op wat er aan programmatuur staat of door iemand anders voor hem daar is neergezet.
Ik lees geen fouten / privilege escalatie in de corel dll-s, alleen dit algemene principe. citeer: "Corel Painter looks for a DLL file called "wacommt.dll" and does not control its path"

Is dit wel een echt gat of gaat het om de aandacht?
Het is wel een probleem.
Zoals ik het lees, gaat het om dll-bestanden die worden geopend in het pad waar het document staat en niet in het pad van de executable. M.a.w. als je een doc hebt in <%userprofile%>\documents, wordt er gezocht naar de dll's in <%userprofile%>\documents i.p.v. de dll's in c:\program files\corel.

Dit wordt helemaal link als dat doc op een website staat en wordt gedownload in de temporary-internet-files. Het is voor een (gehackte) pagina koud kunstje om ook dll's mee te sturen. Die dll's kunnen dan weer malware aanroepen/downloaden.
13-01-2015, 12:41 door mcb - Bijgewerkt: 13-01-2015, 12:41
[off topic]
Door Mysterio:OT: Slordig van Corel. Ik zal ze zo even bellen ;)
http://www.corel.com/en-eu/customer-service/?hptrack=mmsup: +44 203 3550960.
[/off topic]
13-01-2015, 14:44 door Anoniem
MCB kijk eens naar het volgende:
http://unix.stackexchange.com/questions/65700/is-it-safe-to-add-to-my-path-how-come http://www.seas.upenn.edu/cets/answers/dot-path.html

Het alternatief om fixed locaties voor dlls te moeten hebben is ook niet fijn. DLL waren nu net bedoeld om dat problem op te lossen. Het downloaden van een DLL zou al verboden moeten zijn speciale permmissies / confirmatie nodig. Het is een bekend iets. Een een site die gehackt is een ander issue dat opgelost zou moeten worden.

Het beste zou zijn als elk programma zijn eigen environment heft bij opstarten en dat pas op dat moment aanpast naar eigen eisen. Dit is iets wat ieder op zijn eigen machine als beheerder. kan doen en weet te doen.
Natuurlijk werken we standaard niet onder sys-admin/domain-admin of root.
En elke privilege escalation of XSS hebben we in de gaten. Dat weet toch iedereen. (hmmmm ....)

we hebben het hier over iets wat vaak wel gedaan wordt niet enkle des Corels is.
13-01-2015, 15:04 door Anoniem
http://msdn.microsoft.com/en-US/library/windows/desktop/ms682586(v=vs.85).aspx
13-01-2015, 23:37 door Anoniem
gelukkig... WordPerfect is niet vulnerable.
15-01-2015, 13:30 door Anoniem
Ik heb net service pack 1 van PSP17 en ben mijn workplace kwijt. Ik heb psp17 opnieuw geinstalleer en alles is weer goed. Hoe kan ik service pack 1 installeren en toch mijn oud (zeer uitgebreide) workspace behouden?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.