Am 18.02.2022 wurde eine Sicherheitslücke in verschiedenen zebNet Produkten entdeckt, mit welcher durch fehlenden bzw. unzureichenden Verschlüsselungsmaßnahmen ein so genannter Man-in-the-Middle-Angriff (MITM) im Update-Prozess der betroffenen Anwendung ermöglicht werden kann.
Dadurch könnte ein Angreifer zumindest in der Theorie den Update-Prozess der betroffenen Anwendung so manipulieren, dass durch diesen auf dem Zielsystem eine nicht legitime Update-Datei mit beliebigen Code eingeschleust und ausgeführt werden kann, welche es unter Umständen erlaubt Malware oder anderen schädlichen Code auf dem Zielsystem mit Administratorrechten auszuführen.
zebNet hat für sämtliche betroffene Produkte, welche sich in der Unterstützung befinden, am 19.02.2022 mit einer Reaktionszeit von unter 24-Stunden fehlerbereinigte Versionen bereitgestellt, welche umgehend von allen Kunden installiert werden sollten, die ein betroffenes Produkt einsetzen.
Die fehlerbereinigten Versionen enthalten unter anderem verstärkte Verschlüsselungs- sowie neue Signaturprüfungsverfahren, mit welcher eine solche oder ähnlich gelagerte Sicherheitslücke vermieden werden kann.
Eine aktive Ausnutzung dieser Sicherheitslücke ist zebNet nicht bekannt, so dass es sich hierbei um eine reine Vorsichtsmaßnahme handelt.
Da wir lediglich von einem Bruchteil unserer Kunden das Einverständnis zum E-Mail-Versand haben und die Zustellquote bei den E-Mail-Anbietern durch deren vermeintlichen Anti-Spam-Maßnahmen ohnehin sehr niedrig ist, haben wir zeitgleich mit dieser Mitteilung die Redaktionen von heise online, Golem.de sowie diverse andere mit der Bitte um Veröffentlichung kontaktiert, so dass möglichst ein breiter Nutzerkreis von den fehlerbereinigten Versionen erfahren kann.
Für die betroffenen Produkte stehen die fehlerbereinigten Versionen ab sofort unter folgender Adresse zum Download bereit:
https://www.zebnet.de/support/downloads
Betroffene Produkte:
- MailShelf Basic
- MailShelf Standard
- MailShelf Pro
- MailShelf Server
- MailShelf Client
- Backup for Chrome 5.0
- Backup for Chrome 6.0
- Backup for Firefox 5.0
- Backup for Firefox 6.0
- Backup for Internet Explorer 5.0
- Backup for Internet Explorer 6.0
- Backup for Opera Browser 5.0
- Backup for Opera Browser 6.0
- Backup for Pale Moon 6.0
- Backup for SeaMonkey 5.0
- Backup for SeaMonkey 6.0
- Backup for IncrediMail 5.0
- Backup for IncrediMail 6.0
- Backup for Live Mail 5.0
- Backup for Live Mail 6.0
- Backup for Outlook 5.0
- Backup for Outlook 6.0
- Backup for Postbox 5.0
- Backup for Postbox 6.0
- Backup for Thunderbird 5.0
- Backup for Thunderbird 6.0
- Backup for eM Client 5.0
- Backup for eM Client 6.0
- Backup for Mailbird 5.0
- Backup for Mailbird 6.0
- Backup for The Bat 5.0
- Backup for The Bat 6.0
- Backup for Vivaldi 5.0
- Backup for Vivaldi 6.0
- Backup for Waterfox 6.0
- Sämtliche Produkte der Generation 2011
- Sämtliche Produkte der Generation 2012
- Sämtliche Produkte der TNG-Generation (Version 4.0)