Sicherheitsloch in Antiviren-Produkten von McAfee
Bestimmte Archive im LHA-Format können in älteren Antiviren-Produkten von McAfee einen Buffer Overflow hervorrufen. Der Hersteller empfiehlt auf die aktuelle Version der Scan Engine upzudaten.
Bestimmte Archive im LHA-Format können in Antiviren-Produkten von McAfee einen Buffer Overflow hervorrufen. Ein Angreifer kann darüber eigenen Code in ein System einbringen und starten. Der Fehler beruht auf der unzureichenden Überprüfung der Länge eines Headers einer LHA-Datei. Ein präpariertes Archiv kann den Anwender etwa als Anhang einer Mail erreichen oder indem er es selbst per HTTP und FTP auf den Rechner lädt. Die Schwachstelle ist nicht nur in den Consumer-Produkten enthalten, sondern auch in den Corporate-Produkten, wie der Groupshield- und Webshield-Linie.
Nach Angaben von McAfee sind aber nur Installationen betroffen, die noch die VirusScan Scan Engine Version 4320 benutzen. Die seit Dezember verfügbare Version 4400 soll nicht verwundbar sein und bei automatischem Update auch bereits die alte Version auf den Systemen ersetzt haben. Ob der Update-Dienst aktiv ist und wie man die Version seiner Scan Engine ermittelt, erläutert McAfee in einer dafür bereit gestellten Anleitung. Zudem sollen Anwender auch mit der älteren Version geschützt sein, wenn sie die aktuellsten DAT-Files (Signaturfile) ab Version 4436 einsetzen. Der Hersteller empfiehlt auf jeden Fall sowohl die Signaturen als auch die Scan Engine auf den neuesten Stand zu bringen.
Zuletzt zeigten sich auch die Antiviren-Produkte von Trend Micro, F-Secure und Symantec für Buffer Overflows durch manipulierte Archive anfällig.
Siehe dazu auch: (dab)
- VirusScan 4320 Engine Buffer Overrun Vulnerability Warnung von McAfee
- McAfee AntiVirus Library Stack Overflow Fehlerreport von ISS X-Force
