ZoneAlarm: Verhaltensblocker mit Nebenwirkungen

In ZoneAlarm ist ein Behavioural Blocker (OSFirewall) eingebaut, der schädliche Programme beispielsweise am Manipulieren der Registry hindern soll. Der dazu installierte Filtertreiber enthält laut dem Sicherheitsdienstleister MatouSec Security jedoch einen Implementierungsfehler, wodurch das System unter Umständen abstürzen kann; ein Neustart ist erforderlich.

Der Behavioural Blocker überwacht Windows-API-Funktionen wie RegSaveKey, RegRestoreKey und RegDeleteKey. Wendet man jedoch eine Kombination aus diesen Funktionen auf den Registry-Schlüssel HKLM\SYSTEM\CurrentControlSet\Services\VETFDDNT\Enum an, kommt die OSFirewall laut der Sicherheitsmeldung nicht mehr mit. Da der Filtertreiber im Kernel-Modus (Ring 0) arbeitet, zieht der Fehler das ganze System mit ins digitale Nirvana.

In der neuen ZoneAlarm-Version 6.5 haben die Entwickler den Filtertreiber etwas verbessert, hier müssen MatouSec zufolge die Aktionen zweimal durchgeführt werden, bis der Absturz eintritt. Dabei sei es egal, ob man die von der OSFirewall gemeldeten Modifizierungen an der Registry zulasse oder verbiete.

In der Sicherheitsmeldung stellen die Entdecker ein Programm bereit, das dieses Verhalten demonstrieren soll. Bei einem Test von heise Security mit ZoneAlarm 6.5.725.000 konnten wir das Problem nicht nachvollziehen. Betroffen sind laut der Meldung die ZoneAlarm Internet Security Suite 6.5.722.000 und 6.1.737.000. Nicht betroffen seien ZoneAlarm Pro 6.1.744.001 und wahrscheinlich alle Versionen von ZoneAlarm Free und Pro.

Siehe dazu auch: (dmk)

• ZoneAlarm Insufficient protection of registry key 'VETFDDNT\Enum' Vulnerability, Sicherheitsmeldung von MatouSec Security
• Download von ZoneAlarm Free