Sicherheitsschwachstellen in Omnis Studio (SYSS-2023-005/-006)

Security Advisories von Senior Expert IT Security Consultant Matthias Deeg

Im Rahmen eines Sicherheitstests fand SySS IT-Sicherheitsexperte Matthias Deeg zwei Sicherheitsschwachstellen in dem Softwareentwicklungstool Omnis Studio.

Beide Schwachstellen betreffen unerwartetes Verhalten bezüglich angeblich irreversibler Funktionen zum Schutz von Omnis-Programmbibliotheken und -Klassen. Aufgrund von Implementierungsfehlern ist es Angreifern daher möglich, sowohl als immer privat ("always private") gekennzeichnete Omnis-Bibliotheken als auch gesperrte Omnis-Klassen im Omnis Studio-Browser zu öffnen und zu bearbeiten, obwohl dies laut Herstellerangaben nicht möglich sein sollte.

In unserem SySS Proof of Concept-Video "Reversing the Irreversible: Hacking always private Omnis Studio libraries" wird beispielhaft der Zugriff auf eine immer private Omnis-Bibliothek unter Verwendung unseres entwickelten Softwaretools "Omnis Unlocker" demonstriert.

Detaillierte Informationen zu den gefundenen Schwachstellen finden Sie in unseren Security Advisories / You will find detailed information about these security issues in our Security Advisories:

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.


Termine

23.06.2025
SySS auf der DXD-Konferenz

23.06.2025 - 24.06.2025
SySS auf dem Deutschen Präventionstag

24.06.2025 - 25.06.2025
Hack5: Exploit Development

25.06.2025 - 26.06.2025
SySS auf der IKT in Dornbirn

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer