Virenscanner schlampen bei Zip-Archiven
Die Antivirus-Produkte von McAfee, Computer Associates, Kaspersky, Sophos, Eset RAV übersehen womöglich Schädlinge in Zip-Archiven, wenn diese zuvor entsprechend präpariert wurden.
Die Antivirus-Produkte von McAfee, Computer Associates, Kaspersky, Sophos, Eset und RAV übersehen womöglich Schädlinge in Zip-Archiven, wenn diese zuvor entsprechend präpariert wurden. Wie das Sicherheitsunternehmen iDefense herausgefunden hat, genügt eine kleine Manipulation der Header-Daten eines Zip-Archivs, um die Virenscanner zu umgehen: Die Größe der unkomprimierten Dateien ist jeweils im lokalen Header und globalen Header eines Zip-Archivs verzeichnet. Diese Größe kann jedoch nachträglich auf Null gesetzt werden, ohne dass die Daten dabei beschädigt werden. Solche mit Dateigröße 0 ausgezeichneten Dateien lassen sich laut iDefense mit den Standard Zip-Werkzeugen noch auspacken, aber werden von den Virenscannern nicht auf Schädlinge geprüft.
Die meisten betroffenen Hersteller haben bereits reagiert beziehungsweise stellen schon aktualisierte Versionen zur Verfügung, die das Problem beheben. McAfee adressiert das Problem über die Virensignaturen: Nach Einspielen der aktuellsten Signaturdateien gibt der McAfee-Scanner eine Warnung aus, wenn er auf so präparierte Zip-Archive stößt. Auch Computer Associates stellt seinen Kunden Updates zur Verfügung, die das Problem beheben. Nutzer des Eset-Scanner sollen über das automatische Update das Problem lösen können. Kaspersky will das Problem mit dem nächsten Programm-Update beheben. Von Sophos und RAV erhielt iDefense keine Stellungnahme.
Siehe dazu auch: (pab)
- Advisory von iDefense
- Signatur-Updates fĂĽr McAfee-Virenscanner
- Beschreibung und Updates von Computer Associates