Codeschmuggel durch präparierte .exe-Dateien in ClamAV
Der Virenscanner ClamAV patzt beim Verarbeiten präparierter .exe-Dateien. Angreifer können durch die Schwachstelle Schadcode einschleusen.
Der Sicherheitsdienstleister Secunia warnt in einer Sicherheitsmeldung vor einer Schwachstelle im quelloffenen Virenscanner ClamAV. Angreifer können der Software mit manipulierten exe-Dateien fremden Code unterschieben.
Der Fehler beruht laut Secunias Meldung auf einer fehlerhaften Längenprüfung in der Funktion cli_scanpe() in libclamav/pe.c. Manipulierte PE-Executables (Windows-.exe-Dateien), die mit dem Upack-Laufzeitpacker komprimiert sind, können einen heapbasierten Pufferüberlauf provozieren, in dessen Folge eingeschleuster Programmcode ausgeführt werden kann.
Der Sicherheitsmeldung zufolge wollen die ClamAV-Entwickler in Kürze eine aktualisierte Version veröffentlichen, die die Schwachstelle in der Version 0.92.1 und älteren abdichtet. Administratoren, die ClamAV etwa auf ihren Servern einsetzen, sollten das Update bei Verfügbarkeit umgehend einspielen; der fehlerhafte Code zum Verarbeiten von Upack-komprimierten Dateien ist den ClamAV-Entwicklern zufolge derzeit durch die Signatur-Updates deaktiviert.
Siehe dazu auch:
- ClamAV Upack Processing Buffer Overflow Vulnerability, Sicherheitsmeldung von Secunia
- Download der aktuellen ClamAV-Version
(dmk)
