Avasts Achillesferse: ACE-Kompression

Die Virenscanner der Firma Avast weisen zwei kritische Fehler bei der Behandlung von ACE-Archiven auf. Das ACE-Format ist vor allem in der Underground-Szene weit verbreitet.

Schuld an dem Fehler in den Virenscannern ist die Drittherstellerkomponente UNACEV2.DLL, die Avasts Virenscanner zum Dekomprimieren und Analysieren von ACE-Archiven nutzen.

Einer der Fehler ermöglicht ein so genanntes Directory-Traversal; dies bedeutet, dass sich mit manipulierten Dateinamen in ACE-Archiven Dateien an beliebige Orte im Dateisystem schreiben lassen. Der andere Fehler führt zu einem Stack-basierten Buffer-Overflow durch eine fehlerhafte Bereichsprüfung, durch den schädlicher Code auf dem System zur Ausführung kommen kann; die DLL kann nur mit bis zu 290 Zeichen langen Dateinamen umgehen -- ist dieser länger, läuft der allozierte Puffer über.

Betroffen sind alle Virenscanner des Herstellers, vom Heimanwenderprodukt bis zum Enterprise-Scanner. Avast stellt auf seiner Homepage aktualisierte Versionen zur Verfügung, die diese Lücken nicht mehr aufweisen. Diese sollten aufgrund der Ausnutzbarkeit der Lücke beispielsweise durch E-Mails mit präparierten Dateianhängen umgehend eingespielt werden.

Siehe dazu auch: (dmk)

• Security Advisory von Secunia
• Downloads der aktualisierten Avast-Scanner