68660

Fehler in Kaspersky Antivirus

05.10.2005 | 11:05 Uhr |

Auch der Virenscanner von Kaspersky bleibt nicht von Problemen mit komprimierten Archiven verschont.

Komprimierte Archiv-Dateien sind immer wieder eine Quelle für Schwachstellen in Virenscannern. Alex Wheeler untersucht seit einigen Monaten Antivirus-Produkte auf derartige Schwachpunkte und wurde schon mehrfach fündig. Nun hat Wheeler in einer von mehreren Kaspersky-Produkten genutzten Programmbibliothek einen Fehler gefunden, der sich durch speziell präparierte CAB-Dateien ausnutzen lässt.

Verantwortlich für den Fehler ist eine interne Kopierroutine im Programm, die einen Pufferüberlauf erzeugen kann. Erstellt ein Angreifer ein darauf abgestimmtes CAB-Archiv, kann er diesen Fehler ausnutzen, ohne dass ein Benutzer etwas dazu tun muss. Er könnte etwa eine solche Datei als Anhang einer Mail senden.

Wird die CAB-Datei von einem verwundbaren Virenscanner geprüft, tritt der Fehlerfall ein. Der Angreifer kann dadurch zusätzlichen Programm-Code einschleusen und zur Ausführung bringen. Potenziell könnte dieser Programm-Code die vollständige Kontrolle über den betroffenen Rechner ermöglichen.

Betroffen sind nach einer Stellungnahme des Herstellers die Windows-Versionen von "Kaspersky Antivirus" ab Version 5.0. Möglicherweise betrifft das Problem auch Antivirus-Software anderer Anbieter, die eine lizensierte Version von Kasperskys Scan-Technik verwenden. Potenzielle Kandidaten sind zum Beispiel AVK von G-Data, F-Secure oder auch Escan von Microworld.

Nach Aussagen von Kaspersky Labs sind die meisten dieser Produkte jedoch nicht betroffen, da sie das verwundbare Modul nicht enthalten. Auch Kaspersky-Produkte für Linux und Unix sollen laut Hersteller nicht auf diesem Wege angreifbar sein.

Kaspersky Labs hat als erste Maßnahme bereits Signaturen zur Erkennung von CAB-Dateien, die diese Schwachstelle ausnutzen könnten, in die laufenden Updates eingebaut. Diese schützen auch die Produkte von Drittanbietern. Im Laufe des 5. Oktober soll ein Programm-Update verfügbar sein, mit dem das verwundbare Modul ersetzt wird.

Sicherheits-Newsletter : Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt. Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen .

0 Kommentare zu diesem Artikel
68660