Schwachstellen in Antivirenlösungen [Update]
In den Antivirenlösungen von Symantec und Sophos haben die Hersteller Sicherheitslücken abgedichtet, die Angreifern das Ausführen von Skriptcode oder einen Denial-of-Service ermöglichen.
Sowohl Symantec als auch Sophos haben Updates für ihre Antivirenlösungen herausgegeben, die sicherheitsrelevante Fehler in der Software beheben. In Symantecs Antivirenprodukten für Unternehmen und Endkunden können lokale Anwender den Rechner zum Absturz bringen. Sophos' Sicherheitslösungen können dazu führen, dass eingeschmuggelter Skriptcode zur Ausführung kommt.
Die Sicherheitsprodukte von Symantec installieren den Gerätetreiber SYMTDI.SYS. Da der Treiber einige Werte in Interrupt-Request-Paketen (IRPs) nicht korrekt überprüft, können manipulierte Anfragen zum Überschreiben von Speicherbereichen und in Folge zum Absturz des Rechners führen. Bei den Sophos-Produkten können Angreifer eine Cross-Site-Scripting-Lücke in der Protokollfunktion ausnutzen. Durch die Analyse von präparierten Archiven, die einen Schädling mit sorgsam vorbereitetem Dateinamen enthalten, kann der Skriptcode in der Protokolldatei landen und beim Ansehen oder Drucken ausgeführt werden.
Beide Hersteller haben aktualisierte Softwareversionen veröffentlicht, um die Schwachstellen abzudichten. Sophos hat die Fehler in den Antivirus-Versionen 6.5.8 und 7.0.1 behoben und die Patches per automatischem Update verteilt. Symantec verteilt per LiveUpdate Aktualisierungen für die betroffenen Produkte Symantec AntiVirus Corporate Edition 9.x bis einschließlich 10.1.x, Client Security 2.x bis 3.1.x, Norton System Works, Personal Firewall, Internet Security sowie Antivirus jeweils in den Versionen 2005 und 2006 sowie in Norton AntiSpam 2005.
Update:
Sophos behebt auĂźerdem mit einem Update fĂĽr die Scan-Engine auf Version 2.49.0 einen Fehler, durch den CAB-, LZH- oder RAR-Archive mit manipuliertern Headern nicht korrekt ĂĽberprĂĽft wurden. Auch dieses Update wurde bereits automatisch verteilt.
Siehe dazu auch:
- Symantec SYMTDI.SYS Device Driver Local Denial of Service, Sicherheitsmeldung von Symantec
- Sophos Anti-Virus Cross-site script vulnerability reported, Fehlermeldung von Sophos
- Sophos Anti-Virus evasion vulnerabilities reported, Fehlerbericht von Sophos
(dmk)
