19.02.16 16:59

DFN-CERT-2016-0309: Nullsoft Scriptable Install System (NSIS): Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit Administratorrechten (Linux, Fedora)

 

 

Eine Schwachstelle in dem Windows Installer Development Tool 'Nullsoft Scriptable Install System' (NSIS) erlaubt einem entfernten, nicht authentifizierten Angreifer mit Hilfe präparierter Windows-Installationsprogramme auf verschiedene Weise beliebigen Programmcode mit Administratorrechten auf dem Windows-System eines Benutzers ausführen, wenn er diesen zum Aufruf des Installationsprogramms verleiten kann.

Der Hersteller stellt mit der Programmversion NSIS 2.50 ein Sicherheitsupdate bereit, das die Anfälligkeit der erstellten Installationsdateien für die Schwachstelle behebt. Die Erstellung von Windows-Installationsdateien in Fedora wird über MinGW und NSIS ermöglicht. Für die Distributionen Fedora 22 und 23 stehen die entsprechenden Sicherheitsupdates in Form der Pakete mingw-nsis-2.50-1.fc22 und mingw-nsis-2.50-1.fc23 zur Verfügung, welche sich derzeit noch im Status 'pending' befinden.