137588

Schwachstellen in Antivirus-Software

22.07.2005 | 15:46 Uhr |

Die Serie von Fehlern im Umgang mit komprimierten Archiven reißt nicht ab, jetzt sind Sophos und Avast an der Reihe.

In den letzten Monaten mussten wir bereits mehrfach über Probleme von Antivirus-Software bei der Behandlung komprimierter Archivdateien berichten. Der britische Hersteller Sophos und die tschechische Firma Alwil setzen die Fehlerserie fort. Wie schon McAfee, Symantec und etliche andere vor ihnen müssen sie mit einem Update Schwachstellen ausräumen, die von Angreifern genutzt werden könnten.

In mehreren Sophos-Produkten wurde ein Fehler bei Behandlung von Archiven im Format "BZip2" entdeckt. Sind in einzelnen Feldern einer Datei überlange Einträge vorhanden, kann der Virenscanner abstürzen. Dies geschieht nur, wenn die Prüfung innerhalb komprimierter Archive aktiviert ist. Standardmäßig ist diese Option ausgeschaltet. Durch Ausnutzung der Schwachstelle könnte ein schädliches Programm den Virenscanner ungeprüft passieren. Es existiert ein Demo-Exploit, der den Fehler aufzeigt. Updates von Sophos die den Fehler beheben, sind bereits verfügbar.

Das Antivirus-Programm Avast des tschechischen Herstellers Alwil hat hingegen Probleme mit komprimierten Dateien im Format "ACE". Grund sind Fehler in einer Programmbibliothek, die nicht von Alwil selbst entwickelt wurde. Die Datei "UNACEV2.DLL" dient zum Entpacken der ACE-Archive. Sie enthält gleich mehrere problematische Fehler.

Der erste kann dazu ausgenutzt werden, Dateien in übergeordnete Verzeichnisebenen zu schreiben, weil die Pfadangaben im Archiv nicht sorgfältig genug geprüft werden. Sie können eine Konstruktion wie "../" oder einen absoluten Pfad wie "c:\windows\" enthalten. Der zweite Fehler ist ein Pufferüberlauf, der auftritt, wenn ein Archiv eine Datei mit einem Namen enthält, der länger als 290 Zeichen ist. Beim Programmabsturz könnte in den Arbeitsspeicher eingeschleuster schädlicher Code ausgeführt werden.

Alvil stellt ein Update auf die Version 4.6.691 von Avast Home und Avast Home Professional bereit, das den Fehler beseitigt.

0 Kommentare zu diesem Artikel
137588