Creative-Update bringt PC in Gefahr

Creative stellt PC-Zubehör wie Mäuse, MP3-Player, Webcams oder Lautsprecher her. Mit seinen Produkten vertreibt das Unternehmen Software, mit deren Hilfe die Hardware mit dem Rechner kommuniziert. Die Autoupdate-Funktion ist ein Bestandteil der Software, der angeschlossene Creative-Geräte entdeckt und den Nutzer benachrichtigen soll, falls beispielsweise neue Treiber für eine Hardware verfügbar sind. Sicherheitsexperten von Secunia haben in der Autoupdate-Engine der Creative-Software eine Sicherheitslücke entdeckt, die einen PC in die Gefahr bringt, einem Angriff aus dem Internet zum Opfer zu fallen. Den Experten zufolge liegt der Fehler in der Callback-Funktion, in der sich ein Stack-basierter Speicherüberlauf provozieren lässt. Angreifer, die die Lücke ausnutzen, können unerwünschten Code auf einen PC schleusen und ausführen. Die Sicherheitslücke betrifft die Autoupdate Engine ActiveX-Control 2.0.12.0, die mit der aktuellen Autoupdate-Version 1.40.01 ausgeliefert wird.

Abhilfe von Seiten des Herstellers gibt es bislang nicht. Creative hat aber angekündigt, den Fehler in der kommenden Version 2.0.13 der Autoupdate-Software zu beheben.