SAP lukker kritisk sikkerhedshul i ActiveX-komponent

Sikkerhedshullet kan udnyttes til at installere malware, hvis brugeren besøger et ondsindet websted.

ERP-giganten SAP udsendte tirsdag en kritisk sikkerhedsopdatering, som lukker et alvorligt sikkerhedshul i en ActiveX-komponent, som bruges af SAP's grafiske brugergrænseflade.

Sikkerhedshullet findes i ActiveX-komponenten MdrmSap, som installeres af SAPgui.

Ifølge den offentlige amerikanske it-sikkerhedstjeneste US-CERT kan sårbarheden udnyttes til at installere ondsindede programmer via Internet Explorer.

Det forudsætter dog, at en angriber kan lokke brugeren til at besøge et ondsindet websted, som forsøger at udnytte den sårbare ActiveX-komponent.

Sårbarheden kan ifølge US-CERT også udnyttes ved blot at få brugeren til at åbne et særligt udformet HTML-dokument i form af eksempelvis en vedhæftet fil til en e-mail.

I alle tilfælde vil angrebet være begrænset til at afvikle ondsindet kode med de samme rettigheder som den bruger, der er logget på systemet.

Hvis man har den pågældende ActiveX-komponent installeret, men ikke har adgang til SAP's opdateringer, som kræver et kundelogin, så er det også muligt at deaktivere ActiveX-komponenten ved at sætte en såkaldt kill-bit i Internet Explorer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere