Schwachstelle in ClamAV 0.94.1 geschlossen

In der Ende Oktober veröffentlichten Version 0.94.1 des quelloffenen Virenscanners ClamAV wurde unter anderem eine Schwachstelle geschlossen, die Angreifer für DoS-Attacken auf den Scanner ausnutzen konnten. Laut Moritz Jodeit ist ein so genannter Off-by-One Heap Overflow in der Funktion get_unicode_name in libclamav/vba_extract.c schuld an dem Problem. Über Off-by-One Buffer Overflows ist das direkte Einschleusen und Ausführen von Code in der Regel zwar nicht möglich, da meist nur ein einziges Byte überschrieben werden kann, allerdings lassen sich darüber etwa Funktionszeiger verbiegen. Daher ist es nicht ganz auszuschließen, dass ein Angreifer die Lücke trotzdem zum Starten seines eigenen Codes missbrauchen kann.

Immerhin lässt sich durch den Fehler der Dienst Clamd zum Absturz bringen, was insbesondere auf Mail-Gateways eine Bedrohung darstellt. Der Fehler tritt beim Parsen präparierter VBA-Projekt-Dateien auf. Betroffen sind ClamAV-Versionen bis einschließlich 0.94.

Siehe dazu auch:

• ClamAV get_unicode_name() off-by-one buffer overflow, Fehlerbeschreibung von Moritz Jodeit

(dab)