F-Secures Virenscanner hat Probleme mit fehlerhaften Archiven

F-Secure hat einen Fehlerbericht veröffentlicht, in dem auf die Möglichkeit hingewiesen wird, mit LHA- und RAR-Archiven den Virenscanner auszutricksen. Bei bestimmten manipulierten Archiv-Headern ist der Scanner nicht in der Lage, die Datei zu öffnen und deren Inhalt zu prüfen. In der Folge bleibt ein Schädling unentdeckt. Dies wird insbesondere dann zum Problem, wenn etwa ein Mail-Gateway die einzige Stelle ist, an der ein Virenschutzprogramm nach schädlichen Anhängen sucht und auf dem PC der Anwender kein Virenschutzprogramm installiert ist. F-Secure schließt nicht aus, dass ein Anwender-Programm auch eine fehlerhafte Datei öffnen und den Inhalt ausführen kann. Sofern ein Virenscanner aber auf dem PC installiert ist, schlägt der Wächter nach dem Entpacken zu.

Betroffen sind:

F-Secure Anti-Virus for Workstations 7.00
F-Secure Anti-Virus for Windows Servers 7.00
F-Secure Anti-Virus for Citrix Servers 5.52
F-Secure Anti-Virus for MIMEsweeper 5.61
F-Secure Client Security version 7.00
F-Secure Anti-Virus for MS Exchange 7.00
F-Secure Internet Gatekeeper 6.61 
F-Secure Internet Security 2005, 2006 und 2007
F-Secure Anti-Virus 2005, 2006 and 2007
Solutions based on F-Secure Protection Service for Consumers 7.00
F-Secure Anti-Virus for Linux Servers 4.65 
F-Secure Anti-Virus for Linux Gateways 4.65
F-Secure Linux Client Security 5.52 
F-Secure Linux Server Security 5.52 
F-Secure Internet Gatekeeper for Linux 2.16 

Ein automatisch verteiltes Update behebt die vom Sicherheitsdienstleister n.runs gefundenen Probleme. Kürzlich musste F-Secure schon einmal seine Antiviren-Produkte patchen, da ein Buffer Overflow beim Verarbeiten von Archiven auftrat, über den sich Code einschleusen und starten ließ.

Siehe dazu auch:

• Scan bypass vulnerabilities in handling of specially crafted LHA and RAR archives, Fehlerbericht von n.runs

(dab)