Lücke in Viren-Scannern von BitDefender gestopft

Erst jetzt hat BitDefender Informationen über eine kritische Sicherheitslücke in seinen Antiviren-Produkten veröffentlicht. Demnach informierte der Sicherheitsdienstleister n.runs den Hersteller Ende August 2006 über einen Heap Overflow im Scanner, der beim Parsen gepackter PE-Dateien auftritt. Darüber soll sich Schadcode in ein System schleusen und ausführen lassen. Dabei waren nicht nur die Produkte für Heimanwender betroffen, auch die Lösungen für Server wie BitDefender for ISA Server, BitDefender for MS Exchange 2000, 2003, 5.5 und BitDefender Mail Protection for Enterprises enthielten die Lücke. BitDefender behob den Fehler innerhalb weniger Tage.

Warum die Informationen erst jetzt veröffentlicht wurden, ist nicht klar. BitDefender verteilte den Patch über das automatische Update, sodass eigentlich kein Kunde ein verwundbares Produkt betreiben dürfte. Anders ergeht es derzeit Kunden von Symantecs Enterprise-Produkten: Die sehen sich Angriffen des Wurms Yellow Worm ausgesetzt, der über eine im Mai 2006 bekannt gewordene Lücke in Systeme eindringt. Zwar ist der Patch zum Schließen von Symantec seit Juni verfügbar, da er aber nicht über LiveUpdate verteilt wurde, ist er offenbar nicht auf allen Systemen installiert. Symantec Client Security und Symantec AntiVirus nutzen das LiveUpdate nur zur Aktualisierung der Virensignaturen und nicht zum Updaten der Programmversionen. Sofern ein Administrator die Benachrichtigung über verfügbare Patches also verschlafen hat, dürften seine Systeme noch angreifbar sein.

Siehe dazu auch:

• BitDefender AV Packed PE File Parsing Engine Heap Overflow, Fehlerbericht von n.runs
• cevakrnl.xmd vulnerability, Update-Hinweis von BitDefender

(dab)