heise PlusAbo
Anzeige
Alert!

Avira-Virenschutz mit hochriskanten Sicherheitslücken

Drei hochriskante Sicherheitslücken in Avira Antimalware ermöglichen Angreifern etwa das Ausführen von Code mit Systemrechten.

vorlesen Druckansicht 2 Kommentare lesen
Avira-Logo neben Achtung-Schild vor Matrix-Hintergrund

(Bild: heise medien)

Lesezeit: 3 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

IT-Forscher haben in Aviras Antimalware-Software Sicherheitslücken entdeckt, durch die Angreifer verwundbare Systeme kompromittieren können. Dazu müssen sie teils lediglich Dateien an bestimmte, von Nutzern und Nutzerinnen zugreifbare Orte im Dateisystem ablegen, was zur Ausführung von beliebigem Code mit Systemrechten führt.

Konkret führen die Quarkslab-Analysten die Schwachstellen anhand der kostenlosen „Avira Free Security“-Software vor, allerdings ist auch Avira Internet Security und weitere Software mit den genutzten Komponenten anfällig. Bei allen setzen die Angreifer auf eine Technik, die durch Löschen bestimmter Dateien durch die attackierte Software das Ausführen von Code ermöglicht. Trend Micros Zero-Day-Initiative (ZDI) liefert eine umfassende Erläuterung der Missbrauchsmöglichkeiten.

Avira: Drei hochriskante Sicherheitslücken

In der Updater-Komponente der Software fehlt eine Prüfung, ob eine Datei unter „C:\ProgramData“ ein symbolischer Link ist. Angreifer können einen bösartigen Link erstellen, um dadurch beliebige Dateien im System zu löschen – aufgrund der Löschung durch den Dienst mit „SYSTEM“-Rechten. Das erlaubt die Ausweitung der Rechte und vollständige Kompromittierung des Systems (CVE-2026-27748, CVSS4 8.5, Risiko „hoch“). Die System-Speedup-Komponente hingegen deserialisiert Daten aus einer Datei in dem vorgenannten Ordner, ohne etwaige Prüfung oder Sicherheitsmaßnahmen. Standardmäßig können lokale User diese Datei anlegen oder verändern. Angreifer können das direkt lokal oder etwa mittels Social Engineering aus dem Netz gegen arglose Opfer missbrauchen, um beliebigen Code mit „SYSTEM“-Rechten auszuführen (CVE-2026-27749, CVSS4 8.5, Risiko „hoch“).

Die dritte Sicherheitslücke betrifft die Optimizer-Komponente und ist zeitbasiert: Eine Datei wird dabei zwar überprüft, kann vor der Nutzung noch einmal verändert werden (time-of-check time-of-use, TOCTOU). Zunächst scannt der privilegierte Dienst, welche Ordner sich zur Systembereinigung löschen lassen, und löscht die dann später in einem zweiten Durchgang. Angreifer können ein bereits gescanntes Verzeichnis durch eine Junction oder einen sogenannten Reparse Point (auf Deutsch „Analysepunkt“) ersetzen und den Dienst so dazu bringen, beliebige Dateien oder Ordner mit den höchsten Rechten zu löschen, mit den bekannten Folgen (CVE-2026-27750, CVSS4 8.5, Risiko „hoch“).

Videos by heise

Die Schwachstellen betreffen Avira-Versionen bis einschließlich 1.1.109.1990. Die Fassung 1.1.114.3113, die offenbar Anfang Februar 2026 verfügbar wurde, soll die Sicherheitslecks stopfen. Wer Avira einsetzt, sollte daher zügig sicherstellen, dass die Software tatsächlich auf aktuellem Stand ist. Bereits im Mai vergangenen Jahres haben TuneUp und weitere Dienste in Avira, aber auch in AVG- und Norton-Produkten Sicherheitslücken in Windows-Systemen aufgerissen.

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten