195628

Manipulierte Zip-Archive kommen an Viren-Scannern vorbei

19.10.2004 | 15:49 Uhr |

Manipulierte Zip-Archive lassen sich an etlichen aktuellen Viren-Scannern vorbeischleusen. Dies berichtet der Sicherheitsspezialist Idefense.

Manipulierte Zip-Archive können an den Scannern etlicher Antiviren-Programme vorbei geschleust werden. Auf dieses Problem macht jetzt der Sicherheitsspezialist Idefense in seinem jüngsten Security Advisory aufmerksam.

Das Sicherheitsproblem existiert beim Parsen der Header gepackter Archive. Ausführungen von Idefense zufolge ist es möglich, Angaben in diesen Headern (sowohl im so genannten "Local"- als auch im "Global"-Header) zu manipulieren. Die Funktionalität des Archivs soll dabei nicht verloren gehen. Ein Angreifer könnte bösartigen Code in komprimierter Form an den Viren-Scannern vorbeibekommen, indem er die in Headern enthaltenen Angaben zur nicht komprimierten Größe eines Archivs fälscht.

Die Sicherheitslücke betrifft die aktuellen Antiviren-Produkte von Mcafee, Computer Associates, Kaspersky, Sophos, Eset und Rav. Zum Teil haben die Softwareschmieden aber bereits Abhilfe geschaffen. Mcafee, Computer Associates und Eset haben mit Signatur- beziehungsweise Programm-Updates reagiert. Bei Kaspersky soll ein entsprechendes Update in Kürze folgen. Sophos und RAV gaben keine Stellungnahme ab. Die Software-Lösungen von Symantec, Bitdefender, Trend Micro und Panda sind von der Lücke nicht bedroht.

Weitere Details können Sie dieser englischsprachigen Sicherheitsmeldung von Idefense mit dem Titel "Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability" entnehmen. Dort sind auch die Stellungnahmen der betroffenen Firmen festgehalten.

Update (20.10; 09.12 Uhr): Antiviren-Spezialist Sophos hat mittlerweile ebenfalls Stellung genommen. Für Nutzer von Sophos Anti-Virus (unter Windows NT, 2000 sowie XP) wird demnach im Laufe des heutigen Tages Version 3.87.0 bereitgestellt. Manipulierte Zip-Dateien sollten dann nicht mehr am Scanner vorbeikommen. Nutzer von Sophos Anti-Virus, die unter Windows 95, 98 sowie ME arbeiten, werden sich ein klein wenig länger gedulden müssen. Hier wird das Problem mit dem Version 3.88.0 behoben werden.

0 Kommentare zu diesem Artikel
195628