Symantecs Antivirenprodukte stolpern über RAR-Archive [2. Update]

Den Virenscannern von Symantec, gleich ob Einzelplatz- oder Server-Version, laufen die Puffer bei der Verarbeitung von manipulierten RAR-Archiven über.

In Pocket speichern vorlesen Druckansicht 88 Kommentare lesen
Lesezeit: 1 Min.
Von

Den Virenscannern von Symantec, gleich ob Einzelplatz- oder Server-Version, laufen die Puffer bei der Verarbeitung von manipulierten RAR-Archiven über. Die Lücke ermöglicht Angreifern ohne jede Benutzerinteraktion – etwa über E-Mails –, Code einzuschleusen und auszuführen. Ebenfalls betroffen sind Produkte, die den Symantec-Scanner lizenziert haben und unter eigenem Namen vertreiben.

Die von Alex Wheeler entdeckte Schwachstelle wird in seiner Sicherheits-Warnmeldung detaillierter erläutert. Verantwortlich zeichnet ein 16-Bit-Längenfeld in den Sub-Block-Headern, das ungeprüft für eine Kopier-Operation übernommen wird. Hierdurch ist es möglich, den Heap kontrolliert mit Daten zu überschreiben. Wheeler schlägt vor, bis zum Erscheinen von Updates in den Einstellungen das Scannen von RAR-Dateien abzustellen.

Siehe dazu auch: (dmk)