Bitdefender für Unternehmen erlaubte DoS
Der Software-Hersteller hat in seinen Virenscannern für Unternehmensnetze eine Format-String-Schwachstelle geschlossen, die Angreifer mindestens für einen Denial-of-Service ausnutzen konnten.
Bitdefender hat in seinen Virenscannern für Unternehmensnetze eine Format-String-Schwachstelle geschlossen, die Angreifer mindestens für einen Denial-of-Service ausnutzen konnten. Betroffen war BitDefender Client-Professional-Plus in Version 8.02, über das automatische Update hat das Unternehmen inzwischen fehlerbereinigte Versionen der Software verteilt.
Bei dem Fehler handelte es sich um eine Format-String-Schwachstelle in den Routinen zur Erstellung von Logdateien von Suchläufen des Virenscanners. Durch präparierte Angaben in den Suchlaufeinstellungen konnten Angreifer willkürlich Speicherbereiche lesen und schreiben und so mindestens den Scanner zum Absturz bringen. Administratoren von Bitdefender-Lösungen sollten das Update der Software umgehend anstoßen, sofern es bis jetzt noch nicht automatisch angelaufen ist.
Siehe dazu auch:
- BitDefender Client 8.02 Format String Vulnerability, Sicherheitsmeldung von Layered Defense Research auf Full Disclosure
- Format string vulnerability, Fehlermeldung von Bitdefender
(dmk)
