2016-0309: Nullsoft Scriptable Install System (NSIS): Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit Administratorrechten

Historie:

Version 1 (2016-02-19 17:59)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in dem Windows Installer Development Tool 'Nullsoft Scriptable Install System' (NSIS) erlaubt einem entfernten, nicht authentifizierten Angreifer mit Hilfe präparierter Windows-Installationsprogramme auf verschiedene Weise beliebigen Programmcode mit Administratorrechten auf dem Windows-System eines Benutzers ausführen, wenn er diesen zum Aufruf des Installationsprogramms verleiten kann.

Der Hersteller stellt mit der Programmversion NSIS 2.50 ein Sicherheitsupdate bereit, das die Anfälligkeit der erstellten Installationsdateien für die Schwachstelle behebt. Die Erstellung von Windows-Installationsdateien in Fedora wird über MinGW und NSIS ermöglicht. Für die Distributionen Fedora 22 und 23 stehen die entsprechenden Sicherheitsupdates in Form der Pakete mingw-nsis-2.50-1.fc22 und mingw-nsis-2.50-1.fc23 zur Verfügung, welche sich derzeit noch im Status 'pending' befinden.

Schwachstellen:

NSIS Bug ID 1125

Schwachstelle in NSIS ermöglicht Ausführen beliebigen Programmcodes mit Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.