Security risc?

Post Reply
BuSchu
Posts: 2
Joined: Mon Apr 30, 2018 12:06 pm

Security risc?

Post by BuSchu »

I mentioned SUMO in the German Windows newsgroup. From the thread:

Es ist noch VIEL schlimmer!
Ein Bekannter, der dummerweise auch nach 30 Jahren Windows noch
immer auf solchen SCHROTT hereinfaellt, frug mich letzten Sommer,
was ich von diesem Zeux halte.
Ich hab's heruntergeladen, selbstverstaendlich NICHT installiert,
und ihm dann Folgendes geantwortet:

| UEBERHAUPT nichts!
|
| Die Leute, die diesen SCHROTT verbrochen haben, sind DEFINITIV unfaehig:
| entweder benutzen sie ihr eigenes Zeux nicht oder dieses ist kaputt!
|
| 1. die Installationsprogramme sind mit einer defekten und trivial
| angreifbaren Version von InnoSetup gefrickelt: laut Programmkopf
| wurden sie am 2019-04-27 um 08:22:11 gebaut.
| Auf der Webseite dagegen ist 2019-08-27 sowie 2019-08-15 angegeben.
|
| 2. die Programme selbst sind mit einer URURALTEN und vom Hersteller
| seit Aeonen NICHT mehr gewarteten Version von Delphi gefrickelt:
| laut Programmkopf wurden sie am 1992-06-19 um 22:22:17 gebaut.
|
| JFTR: Schrott wie Delphi beherscht KEINE der seit Anfang dieses
| Jahrtausends von anstaendigen Windows- oder UNIX-Compilern
| verwendeten Schutzmassnahmen wie "stack cookies" etc.
|
| 3. anstelle von Windows' CryptoAPI verwendet dieser SCHROTT eine
| natuerlich(!) VERALTETE Version 1.1.1c von OpenSSL.
| In 1.1.1.d wurde die Sicherheitsluecke CVE-2019-1552 gestopft.
|
| JFTR: libcrypto*.dll und libssl*.dll sind mit einem ANSTAENDIGEN
| C-Compiler gebaut, sie verwenden "stack cookies", "control
| flow guard" und andere STANDARD-Schutztechniken.
|
| 4. die "portablen" Versionen laden MINDESTENS Version.dll aus ihrem
| Programmverzeichnis statt aus dem Windows-Verzeichnis, d.h. sie
| sind TRIVIALST angreifbar; da DUMo nur mit Administratorrechten
| gestartet werden kann ist der MAXIMAL-Schaden erreichbar.
|
| JFTR: um diese Schwachstelle(n) zu finden musste ich KEINES dieser
| SCHROTT-Programme ausfuehren, sondern mir nur ihre Metadaten
| anschauen.
|
| Schoener kann eine Frickelbude ihre Inkompetenz nicht demonstrieren!
| FAZIT: Finger weg.

I do not agree with all of the statemants!

Translation of the most important points:
"Used Delphi version is from 1992." I can't believe it.
"openssl version is 1.1.1c which is too old." That's true. Please use a newer version!
"Portable versions load some dll's from the program directory." I think this should be changed.

Regards
Burkhard

Kyle_Katarn
Site Admin
Posts: 1428
Joined: Sun Jul 03, 2011 8:13 pm

Re: Security risc?

Post by Kyle_Katarn »

- Yes we use Delphi 7, but this does not prevent from making modern and safe products.
- Unlike what is stated we use the latest InnoSetup compiler.
- We use OpenSSL 1.1.1c and we will soon embbed 1.1.1f. Anyway, you can use 1.1.1d or even 1.1.1f library with SUMo as code is already compatible.
- Portable version indeed store some local files in user directory as already documented here : https://www.kcsoftwares.com/bugs/view.php?id=4791

Let me know if further clarification is needed.

Post Reply