Pandas Antivirenlösung stolpert über ZOO-Archive [Update]
Manipulierte Lempel-Ziv-komprimierte ZOO-Archive können einen Buffer Overflow auf dem Heap provozieren, über die ein System mit Schadcode infiziert werden kann.
Die Antivirenlösung des Herstellers Panda Software soll eine kritische Sicherheitslücke enthalten, die beim Durchsuchen von bestimmten Archiven zu Tage tritt. Manipulierte Lempel-Ziv-komprimierte ZOO-Archive können einen Buffer Overflow auf dem Heap provozieren, über die ein System mit Schadcode infiziert werden kann, so zumindest das Ergebnis einer Analyse des Sicherheitsspezialisten Alex Wheeler. Der Fehler steckt seinem Advisory zufolge in der Bibliothek pskcmp.dll, die neben den Desktop- und Serverprodukten auch in den Gateway-Lösungen zum Einsatz kommt. Für einen erfolgreichen Angriff würde das Versenden einer Mail mit einem präparierten Anhang an ein verwundbares System genügen. Eine Interaktion des Anwenders ist nicht notwendig.
Welche Versionen genau betroffen sind, gibt Wheeler in seinem Bericht nicht an. Panda Software wurde über seine Entdeckung offenbar nicht informiert. Zumindest konnte Panda Deutschland auf Nachfrage von heise Security weder den Fehler bestätigen noch dementieren oder sagen, ob ein Patch verfügbar ist. Als Workaround sollten Administratoren auf den Mail-Servern ZOO-Archive ausfiltern.
Update:
Ein automatisch verteiltes Signatur-Update vom 2.12. soll dieses Problem laut Panda Software beseitigen. Alle Panda Produkte, die mindestens eine Signatur mit dem oben genannten Datum besitzen, seien vor einer Ausnutzung der .zoo-Schwachstelle geschützt, heißt es in der entsprechenden Mitteilung.
Siehe dazu auch: (dab)
- Panda Antivirus ZOO Archive Decompression Buffer Overflow, Advisory von Alex Wheeler
