66732

Neue Sicherheitslücken in ClamAV

03.01.2008 | 15:41 Uhr |

In dem quelloffenen Antivirus-Programm ClamAV sind drei Schwachstellen entdeckt worden. Ob diese von Angreifern ausgenutzt werden könnten, ist allerdings zumindest umstritten.

Wenn in Sicherheitsprogrammen wie Virenscannern Schwachstellen gemeldet werden, ist das besonders problematisch. Schließlich erwarten Anwender von solchen Programmen ein Plus an Sicherheit. Gleich drei neue Anfälligkeiten sollen im Open Source Virenscanner ClamAV stecken, wie Roflek und Lolek von der Gruppe TK53 melden . Betroffen ist die aktuellen Version 0.92 von ClamAV. Die Entwickler des Programms sind allerdings nicht der Ansicht, dass es sich um ausnutzbare Sicherheitslücken handelt.

Die erste Schwachstelle soll in der Art und Weise bestehen, wie ClamAV temporäre Dateien anlegt. Wenn ein Angreifer mit einem lokalen Benutzerkonto den Dateinamen einer temporären Datei errät und eine eigene Datei gleichen Namens mit speziell präpariertem Inhalt anlegen kann, könnte er seine Benutzerrechte ausweiten. Falls ClamAV von einem Administratorkonto (etwa "root" unter Linux) gestartet worden ist, könnte der präparierte Code mit dessen Rechten ausgeführt werden.

Tomasz Kojm, Projektleiter von ClamAV, ist allerdings der Meinung, dass die Art und Weise, wie ClamAV temporäre Dateien erzeugt, einen solchen Missbrauch praktisch ausschließt. Er meint, Roflek und Lolek hätten die betreffende Funktionsweise von ClamAV nicht ganz verstanden und daher eine falsche Schlussfolgerung gezogen.

Bei dem zweiten Fehler geht es schlicht um eine fehlende Funktion. Dateien, speziell Mail-Anhänge, die mit dem Verfahren "Base64-UUencode" kodiert sind, können von ClamAV nicht überprüft werden. Damit könnten Schädlinge unerkannt am Virenscanner vorbei geschleust werden. Tomasz Kojm wendet ein, ClamAV würde solche Versuche trotzdem verhindern, da es alle Dateien auch im "Raw"-Modus scanne.

Schließlich soll das in ClamAV enthaltene Werkzeug "Sigtool" unter Umständen das Überschreiben von Dateien ermöglichen. Hierzu entgegnet Tomasz Kojm, Sigtool sei als Werkzeug für Entwickler von Virensignaturen gedacht und es gebe keine praktikablen Weg, wie ein Angreifer damit Schaden anrichten könne.

Da ClamAV wegen seiner recht schwachen Erkennungsraten ohnehin nicht als alleiniger Schutz eines Rechners geeignet ist, sollten diese Probleme für Endanwender keine große Gefahr darstellen.

0 Kommentare zu diesem Artikel
66732