AV-Scanner Dr.Web führt Schadcode aus

Der Antivirenscanner Dr.Web führt beliebigen Schadcode beim Durchsuchen manipulierter LHA-Archive aus. Dies geht aus einem Posting auf der Sicherheits-Mailingliste Full-Disclosure hervor. Dadurch können Angreifer die vollständige Kontrolle über ein System erlangen, sofern sie dessen Nutzer beispielsweise durch eine suggestive E-Mail dazu bringen können, eine präpariere Archivdatei zu öffnen. Die Schwachstelle wurde in Version 4.33 des Linux-Scanners nachgewiesen. Der Entdecker der Lücke Jean-Sébastien Guay-Leroux vermutet jedoch, dass der Fehler auch in älteren Versionen auftritt. Vermutlich sind auch die Versionen für andere Plattformen, beispielsweise Windows, anfällig.

Laut Advisory komme es bei dem Verarbeiten von überlangen Verzeichnisnamen in LHA-Archiven zu einem Pufferüberlauf auf dem Heap, der sich zum Überschreiben beliebiger Speicheradressen ausnutzen lasse. Ein funktionstüchtiger Demo-Exploit für die Linux-Version des Scanners liegt dem Advisory bei. Guay-Leroux zufolge ist der Hersteller seit Ende August über das Problem informiert, jedoch liegt bislang offenbar noch keine fehlerbereinigte Version von Dr.Web vor. Bis zu deren Erscheinen schlägt Guay-Leroux als vorläufigen Workaround vor, die Funktion zum Scannen von Archivdateien vollständig zu deaktivieren.

Udpate:
Dr.Web hat das Problem mittlerweile mit aktualisierten Signaturen behoben.

Siehe dazu auch: (cr/c't)

• Dr.Web 4.33 antivirus LHA long directory name heap overflow, Advisory auf Full-Disclosure