Viele Personal-Firewalls haben eine Bypass-Schwäche

[magic]

Zur Traffic-Kontrolle nutzen Personal-FWs Shortcuts oder einen anderen Befehl.
Bestimmte Schadprogramme können diese Möglichkeit bei diversen Firewalls ausnutzen, um sich in die Liste des erlaubten Traffics einzutragen.

Betroffen sind:

* ZoneAlarm / ZoneAlarm Pro (www.zonelabs.com) | Fixed
o 4.5.530.000
o 4.5.538.001

* Kerio (www.kerio.com)
o 4.0.14

* Agnitium Outpost Firewall (www.agnitium.com)
o 2.1.303.4009 (314)
o 2.5.369.4608 (369)

* Kaspersky Anti-Hacker (www.kaspersky.com)
o 1.5.119.0

* Look 'n' Stop (www.looknstop.com)
o 2.04p2

* Symantec's Norton Personal Firewall (www.norton.com)
o 2004

Vulnerable Products (Mouse Control):
These products are only vulnerable to "Mouse Control Method", because they don't accept shortcuts but still vulnerable to "Mouse Control" attacks.

* Panda Platinum Internet Security
o 8.03

* Omniquad Personal Firewall
o 1.1


Vorläufige Abhilfe kann erreicht werden durch eine (wenn vorhanden) paßwortgeschützte Abfrage von "Allow"-Freigaben.


Die Firmen sind schon seit August letzten Jahres informiert - lediglich ZoneLabs hat in ihrer Version 5 Abhilfe geschaffen.

Der komplette Bericht inklusive Proof of Concepts und Exploits kann hier eingesehen werden.


Quelle: Addict 3 D



greetz
magic