NOD32 führt Schadcode aus

Der Antiviren-Scanner NOD32 lässt sich unter Umständen beliebigen Schadcode unterschieben. Laut einem Posting auf der Sicherheits-Mailingliste Bugtraq können Angreifer die vollständige Kontrolle über ein verwundbares System übernehmen, wenn es ihnen lokal oder übers Netz gelingt, eine Datei in einem Verzeichnis mit einem überlangen Namen anzulegen. Alle NOD32-Versionen vor der kürzlich per automatischem Update veröffentlichen Version 2.70.37.0 sollen den Programmierfehler aufweisen.

Ursache des Problems sind zwei Pufferüberläufe bei der Verarbeitung von Pfadnamen. Zum Überlauf kommt es jedoch nur, wenn der Scanner eine Datei in dem Verzeichnis desinfiziert, löscht oder umbenennt. Eine weitere Hürde ist, dass Angreifer ihren Schadcode derart formulieren müssen, dass er sich als Unicode-kodierter Verzeichnisname darstellen lässt. Ein funktionsfähiger Exploit für die Lücke soll aber existieren. NOD32-Anwender, die ihre Updates manuell einspielen, sollten ihren Virenscanner umgehend aktualisieren.

Siehe dazu auch:

• NOD32 Antivirus Long Path Name Stack Overflow Vulnerabilities, Bugtraq-Posting von Ismael Briones

(cr)