Norman-Virenscanner ermöglicht Rechteausweitung

Einer Sicherheitsmeldung von 48bits zufolge enthält der Treiber nvcoaft51 von Normans Antivirenlösungen mehrere Schwachstellen, durch die lokale Anwender Code im Kernel-Kontext einschleusen und ausführen können. Der Treiber stellt das Gerät NvcOa bereit, setzt aber keine Zugriffsbeschränkungen, sodass alle Nutzer darauf zugreifen können.

Mehrere Funktionen enthalten laut der Meldung Code, in dem Pufferüberläufe auftreten können. Die Entdecker der Lücken von 48bits beschreiben, dass beispielsweise eine Funktion zwar die Länge einer übergebenen Zeichenkette überprüfe und anschließend einen Puffer anlegt, dieser Puffer jedoch nicht ausreichend dimensioniert ist. Wenn anstatt ASCII-Zeichen Unicode zum Einsatz kommt, belegt ein Zeichen mehrere Bytes, und der Puffer kann überlaufen. Außerdem könnten einige Kontrollfunktionen direkt zum Ausführen von Code genutzt werden, da der Treiber an sie übergebene Argumente ohne vorherige Prüfung als Zeiger auf eine KEVENT-Struktur interpretiert – Angreifer könnten eine solche KEVENT-Struktur fälschen und dadurch beliebigen Code ausführen.

48bits haben in ihrer Meldung auch den Quellcode zu einem Beispiel-Exploit verlinkt, der die Schwachstelle zur Codeausführung mit gefälschten KEVENT-Strukturen vorführen soll. Betroffen ist Norman Virus Control 5.82 und darauf basierende Produkte, möglicherweise enthalten aber auch ältere Versionen den fehlerhaften Treiber. Aktuell ist die Version 5.90, die betroffene Anwender beim Hersteller herunterladen können. Der Fehlermeldung von 48bits zufolge kommt der Treiber nun nur noch unter Windows NT und 2000 zum Einsatz. Dennoch sollten Norman-Nutzer die aktuelle Version installieren, um ihren Rechner nicht zu gefährden.

Siehe dazu auch:

• Multiple vulnerabilities in Norman NVC 5.82 driver, Sicherheitsmeldung von 48bits
• Demo-Exploit und detaillierter Fehlerbericht von 48bits
• Download der aktuellen Norman-Versionen

(dmk)