Deutsch

FAQ: Kann in ArcGIS-Software die Sicherheitslücke CVE-2010-3599 auftreten?

Frage

Kann in ArcGIS-Software die Sicherheitslücke CVE-2010-3599 auftreten?

Antwort

In einigen Sicherheits-Tools wird gemeldet, dass in ArcGIS-Software die Sicherheitslücke CVE-2010-3599 auftreten kann: Ein Fehler in der Methode "WriteJPG()" im ActiveX-Steuerelement "NCSEcw.dll" kann ausgenutzt werden, um Dateien willkürlich zu überschreiben, oder möglicherweise einen Pufferüberlauf verursachen. Dieses Problem tritt in einigen Versionen des Steuerelements "NCSEcw.dll" auf, mit dem ECW-Raster-Dateien (Enhanced Compression Wavelet) dargestellt werden.

Dies ist keine tatsächliche Sicherheitslücke. Um die Sicherheitslücke CVE-2010-3599 auszunutzen, muss "NCSEcw.dll" in der Esri Software als COM Objekt definiert sein. Diese DLL ist in ArcGIS Desktop, ArcGIS Engine und ArcGIS Enterprise nicht als COM-Objekt registriert. Die in ArcGIS 10.4 und höher verwendeten ECW-DLLs haben keine COM-Schnittstelle (in neueren Versionen weist das ECW-SDK die Version 5.2.1 auf). In älteren Versionen von ArcGIS wird das ECW 4.x-SDK verwendet, die ECW-DLLs sind jedoch nicht registriert und verwenden keine COM-Schnittstelle. Deshalb kann diese Schwachstelle nicht über die ArcGIS-/GDAL-Installation ausgenutzt werden.

Sie können dies selbst überprüfen. Überprüfen Sie zu diesem Zweck den HTLM-Code im Anhang des angegebenen Dokuments, um Computer zu überprüfen, auf denen ArcGIS Desktop und ArcGIS Engine installiert sind. Beispielsweise wird bei einem Test auf einem Computer mit ArcGIS 10.2.2 die folgende Meldung zurückgegeben:

"NCSEcw.NCSRenderer" was NOT found or was unable to load
Error: Automation server can't create object
System not vulnerable to CVE-2010-3599. No further action required
User-added image

Related Information