KB1106241 - Security Issue: Gespeichertes Kennwort kann ausgelesen werden

Artikel-ID: KB1106241 - Geändert am: 16. Oktober 2022

Hinweis: Alexander Seeliger Software veröffentlicht keine näheren Details zu Sicherheitsproblemen, um Benutzer der Software vor diesen Problemen zu schützen. Ebenso wenig werden Informationen vor vollständiger Untersuchung und Veröffentlichung des erforderlichen Patches veröffentlicht.

Zusammenfassung

Wenn sich der Benutzer dafür entscheidet das Kennwort zu speichern, kann dieses ohne zusätzliche Tools ausgelesen werden. Der Angreifer muss dafür Zugriff auf das Benutzerverzeichnis des betroffenen Benutzers haben, um die entsprechende Benutzereinstellungsdatei von Backup Service Home 3 auszulesen.

Zudem kann das Kennwort aus dem Arbeitsspeicher gelesen werden, ohne dass direkter Zugriff auf das Benutzerverzeichnis erlangt werden muss. Dazu muss der Angreifer jedoch diverse Mechanismen ungehen, um das Kennwort im Speicher zu finden bzw. auszulesen.

Diese Sicherheitslücke wird für alle Versionen von Backup Service Home 3 als niedrig eingestuft, da der Angreifer Zugriff auf das Benutzerverzeichnis haben muss.

Das Sicherheitsupdate behebt dieses Problem, in dem das Kennwort in der Benutzereinstellungsdatei verschlüsselt wird und an das Windowsbenutzerkonto gebunden wird. Zudem wird das Kennwort im Arbeitsspeicher nur noch vorgehalten, wenn es für die Ver- bzw. Entschlüsselung benötigt wird.

Betroffene Versionen

Alle Versionen von Backup Service Home 3 niedriger als 3.3.8.

Aktualisierung von Backup Service Home 3

Das Sicherheitsupdate wird mit der Version 3.3.8 ausgeliefert und bedarf keinerlei zusätzlicher Konfiguration. Es ist jedoch notwendig, dass das Kennwort für die Datensicherung bzw. Datenwiederherstellung erneut eingegeben werden muss. Dadurch wird die Benutzereinstellungsdatei aktualisiert.