Mehrere Virenscanner mit Sicherheitsproblemen

Die Scanner von Symantec, Kaspersky, Norman, Frisk und Ikarus weisen Schwächen auf, durch die sich Viren und Würmer an den Scannern vorbeischmuggeln lassen. Für einige Produkte gibt es Updates, um die Schwachstellen zu beheben.

In Pocket speichern vorlesen Druckansicht 65 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Symantec hat auf ein Sicherheitsproblem in mehreren seiner Antivirenprogramme für Unternehmen und Privtanwendern hingewiesen. Durch einen Fehler ist es möglich, den Virenscanner bei der Suche nach Schädlingen in präparierten Archiven auszutricksen. Die Archive sind zwar durch die Manipulation eigentlich in keinem korrekten Format mehr, allerdings können einige Anwendungen und Entpacker enthaltene Dateien dennoch extrahieren.

Insbesondere auf Sicherheits-Gateways an den Netzgrenzen stellt die fehlende Erkennung ein Problem dar, sodass etwa in Unternehmen nur noch der Scanner auf den Endsystemen beim Auspacken die Möglichkeit hat, eine drohende Infektion abzuwenden. Damit wird nicht zuletzt der mehrstufige Ansatz mit unterschiedlichen Virenscannern ausgehebelt.

Symantec stuft das Problem dennoch als gering ein und stellt statt eines Updates in seinem Fehlerbericht nur Tipps für mögliche Workarounds zur Verfügung. Administratoren sollten auf den Gateways etwa die Einstellungen so ändern, dass beschädigte Archive verworfen werden. Die Einschätzung solcher Schwachstellen differiert unter den Hersteller von Antivirenprodukten ohnehin sehr stark. F-Secure schätzte das Risiko solch einer Schwachstelle vergangenes Jahr als hoch ein.

Daneben haben kürzlich Frisk (F-Prot), Norman und Ikarus Updates veröffentlicht, um ähnliche Probleme in ihren Scannern zu beseitigen. Der Sicherheitsspezialist Thierry Zoller hatte die Probleme in den Produkten aufgedeckt und an die Hersteller gemeldet. Nach Angaben von Zoller hat zudem Kaspersky kürzlich mit einem stillen Update eine Lücke geschlossen, durch die sich präparierte, bösartige PDF-Dokumente am Scanner vorschmuggeln ließen, die beim Öffnen im Adobe Reader zu einer Infektion des Systems führen konnten.

Kaspersky arbeitete laut Zoller beim Parsen von PDF-Dokumenten mit einem festen Offset, um festzustellen, ob das Dokument mit der (magischen) Zeichenkette %PDF beginnt. Ist die Zeichenkette dort nicht zu finden, erkannte der Scanner es nicht als PDF-Dokument. Adobe Reader und Foxit kümmern sich hingegen offenbar nicht um die Offsets, lesen die präparierten Dokumente ein und führen auch darin enthaltene JavaScripte aus.

Siehe dazu auch:

(dab)