Fehler in Trend Micros Virenscanner bringt Windows zum Stillstand
Eine Division durch Null beim Scannen präparierter Dateien führt zum Bluescreen of Death.
- Daniel Bachfeld
Ein Fehler in Trend Micros AntiVirus-Produkten für Windows kann beim Scannen manipulierter Dateien nicht nur zum Absturz des Scanners führen – Windows bleibt gleich mit stehen. Ursache des Problems ist laut iDefense eine Division durch Null in dem Kerneltreiber VsapiNT.sys, mit dem der Scanner Dateien in unterschiedlichen Formaten überprüfen kann. Beim Auswerten von Dateien, die im UPX-Format gepackt sind, wird ein dort definierter Wert für die Division benutzt. Da ein Angreifer diesen Wert in einer Datei selbst bestimmen kann, kann er unter Windows einen Bluescreen of Death (BSOD) gezielt provozieren.
Betroffen ist die Scan-Engine 8.0 und 8.3, wie sie in zahlreichen Produkten von Trend Micro zu finden sind. Dazu gehören nicht nur Desktop-Produkte wie PC-cillin, sondern auch Server-Produkte und Gateway-Scanner wie InterScan und ScanMail. Für einen erfolgreichen Angriff genügt es bereits, dass ein Gateway eine Mail mit einem bösartigen Anhang verarbeitet.
Trend Micro hat Updates zur Verfügung gestellt, die das Problem beheben. Die Updates werden bereits automatisch verteilt.
Siehe dazu auch:
- Blue Screen of Death (BSOD) and product exception in Trend Micro Scan Engines, Fehlerbericht von Trend Micro
- Trend Micro Antivirus UPX Parsing Kernel Divide by Zero Vulnerability, Fehlerbericht von iDefense
(dab)
