[Allegro] aufruf von alcarta.exe ermöglicht aufruf von a99.exe -> Sicherheitsproblem
Bernhard Eversberg
ev at biblio.tu-bs.de
Fr Mai 15 09:27:32 CEST 2015
Am 15.05.2015 08:42, schrieb Klaus Lehmann:
>
>
> schon vor 2 wochen entdeckt. vermutlich ist es auch
> versionsunabhängig... jedenfalls probiert mit V35.4
>
> wie passiert es?
> aufruf von alcarta
> man gehe auf UNTEN: hilfe a-z
> die viewliste quick.wv kommt
> a99 anklicken!
> frage "a99 starten?" und schwupps ist man in a99.exe
>
Einerseits wird man i.d.R. für den Start von alcarta eine .ini
verwenden, in der access=0 steht. a99 wird dann ebenfalls damit
gestartet und kann somit kein Unheil anrichten.
Andererseits ist es sehr leicht, auch diese Unerwünschtheit zu
unterbinden: die Zeile mit a99 rausnehmen aus quick.vw.
Nicht jeder wird sich der Mühe unterwerfen wollen, solche Dinge
nachzuvollziehen, sondern einige werden über Braunschweig lästern,
daß die da sich schon wieder so einen Lapsus geleistet haben. (Den
freilich noch nicht mal ein Berger bislang bemerkte, aber egal.
Wir machen dann in Kürze ein Sicherheitsupdate, das man sich
mit x getfile quick.vw sofort besorgen kann.
Die Zeilen mit a99 und a99a werden darin dann fehlen, sind ja
auch wirklich entbehrlich.
Zuerst wird aber V35.5 freigegeben. Das GP ist fertig, wir werden
es nicht wegen diese Sache nochmal aufschnüren.
Vb269 kommt bald ...
B.E.
Mehr Informationen über die Mailingliste Allegro