Alert!

Warten auf Patches: Gef?hrliche Lücken in BIG-IP Edge Client

Die Windows-Version der Fernzugriffssoftware BIG-IP Edge Client ist über mehrere Sicherheitslücken attackierbar.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 6 Beitr?ge

(Bild: asharkyu/Shutterstock.com)

Von

Setzen Angreifer erfolgreich an verschiedenen Sicherheitslücken in BIG-IP Edge Client an, k?nnten sie sich h?here Nutzerrechte erschleichen, Computer via DoS-Attacke abstürzen lassen oder sogar Schadcode ausführen.

Nach jetzigem Kenntnisstand sind noch keine Sicherheitsupdates verfügbar. Wenn die Patches kommen sollen, ist bislang unbekannt. Workarounds zum Absichern von Computern existieren derzeit nicht.

BIG-IP Edge Client gibt es für Computer-Betriebssysteme und mobile Ger?te. Damit kann man über eine gesicherte, verschlüsselte VPN-Verbindung beispielsweise über das Internet auf Firmendaten zugreifen. Von den drei Schwachstellen sind ausschlie?lich Windows-Systeme betroffen.

Aufgrund eines Fehlers (CVE-2020-5897) in der ActiveX-Komponente von BIG-IP k?nnten Angreifer Speicherfehler (use-afer-free) ausl?sen, um so eigenen Code im Browser auszuführen. Damit das klappt, müsste ein Opfer eine von einem Angreifer pr?parierte Website besuchen, beschreibt F5 in einer Warnmeldung. Dort kann man auch die betroffenen Versionen nachlesen. Das Angriffsrisiko gilt als "hoch".

Die zweite Lücke (CVE-2020-5896) findet sich im Installationsservice des Clients. Aufgrund von schwachen Ordnerberechtigungen k?nnten Angreifer signierte .exe- und MSI-Dateien ausführen. Das soll zu einer Rechteausweitung führen. Hier gilt der Bedrohungsgrad als "hoch".

Das Ausnutzen der dritten Schwachstelle (CVE-2020-5898) k?nnte zu einem Absturz des Windows-Kernel führen. Der Fehler liegt im Stonewall-Treiber. F5 hat das Angriffsrisiko als "mittel" eingestuft.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)

汤姆叔叔影院