Alert! F-Secures Virenscanner führt eingeschleusten Code aus

Das fehlerfreie Scannen von Archiven und komprimierten Dateien scheint die Hersteller von Antivirenprodukten vor enorme Probleme zu stellen. Nicht nur, dass sie oftmals Schädlinge in präparierten Archiven übersehen. Oft provozieren solche Dateien auch noch einen Buffer Overflow, über den sich Schadcode auf ein System schleusen und mit den Rechten des Scanners ausführen lässt. Besonders prekär ist dies, wenn es sich dabei um zentrale Sicherheitskomponenten wie Scanner auf Gateways oder Servern handelt.

Heute meldet F-Secure in einem Advisory genau diese beiden Schwachstellen: Ein Buffer Overflow bei der Verarbeitung von ZIP-Archiven. Zudem erkennen die Scanner in bestimmten RAR- und ZIP-Dateien enthaltene Schädlinge nicht immer. Betroffen sind sämtliche Versionen von F-Secures Anti-Virus-Produkten für Windows und Linux. Der Hersteller stellt Hotfixes zur Verfügung, die etwa auf Desktop-Systemen automatisch installiert werden. Auf Gateways und Servern müssen die Administratoren die Patches per Hand einspielen.

Siehe dazu auch:

• Code execution vulnerability in ZIP and RAR-archive handling , Fehlerreport von F-Secure
• ClamAV 0.88 schließt Lücke bei UPX-Dekomprimierung, Meldung auf heise Security
• Symantecs Antivirenprodukte stolpern über RAR-Archive, Meldung auf heise Security
• Pandas Antivirenlösung stolpert über ZOO-Archive, Meldung auf heise Security
• F-Prot Antivirus scannt nicht alle ZIP-Archive , Meldung auf heise Security
• Archive lassen Virenscanner NOD32 den Puffer überlaufen, Meldung auf heise Security

(dab)