• CWE-65: Windows Hard Link

Das Produkt behandelt den Fall, in dem ein Dateiname mit einem Hard Link zu einem Ziel außerhalb des vorgesehenen Control Sphere verknüpft ist, nicht ausreichend, wenn eine Datei oder ein Verzeichnis geöffnet wird. Dies könnte es einem Angreifer ermöglichen, das Produkt dazu zu bringen, mit nicht autorisierten Dateien zu operieren.

CWE-65: Windows Hard Link

CWE ID: 65
Name: Windows Hard Link

Beschreibung

Das Produkt behandelt den Fall, in dem ein Dateiname mit einem Hard Link zu einem Ziel außerhalb des vorgesehenen Control Sphere verknüpft ist, nicht ausreichend, wenn eine Datei oder ein Verzeichnis geöffnet wird. Dies könnte es einem Angreifer ermöglichen, das Produkt dazu zu bringen, mit nicht autorisierten Dateien zu operieren.

Erweiterte Beschreibung

Das Versäumnis eines Systems, auf Hard Links zu prüfen, kann zu einer Verwundbarkeit gegenüber verschiedenen Angriffstypen führen. Beispielsweise kann ein Angreifer seine Privilegien eskalieren, wenn eine Datei, die von einem Programm mit erhöhten Rechten verwendet wird, durch einen Hard Link zu einer sensiblen Datei (z.B. AUTOEXEC.BAT) ersetzt wird. Wenn der Prozess die Datei öffnet, kann der Angreifer die Privilegien dieses Prozesses übernehmen oder verhindern, dass das Programm Daten korrekt verarbeitet.