Sicherheitsupdate: Avast Free Antivirus ist verwundbar
Sicherheitsforscher warnen vor LĂĽcken in Avast Free Antivirus. Sicherheitsupdates sind verfĂĽgbar. Um das zu kommunizieren, hat Avast aber lange gebraucht.
Angreifer können an mehreren Sicherheitslücken in der Schutzsoftware Avast Free Antivirus ansetzen und im schlimmsten Fall Schadcode im Kontext des Systems ausführen. Mittlerweile haben die Entwickler die Lücken geschlossen.
Zero-Day-LĂĽcken
Vor den acht Schwachstellen warnen Sicherheitsforscher von Trend Micros Zero Day Initiative in mehreren Beiträgen. Einige Lücken (etwa CVE-2024-7237 "hoch" und CVE-2024-7227 "hoch") haben sie eigenen Angaben zufolge bereits 2023 an Avast gemeldet. Welche Betriebssysteme davon betroffen sind, geht aus den Warnmeldungen nicht hervor. Die Schutzsoftware gibt es für Android, macOS und Windows. Ob davon auch die Premium-Version betroffen ist, ist derzeit unklar. Die Forscher nennen ausschließlich die Free-Variante.
Die Forscher führen aus, Avast seitdem regelmäßig kontaktiert zu haben. Die Verantwortlichen haben sich ihnen zufolge aber nie zurückgemeldet. Nun haben sich die Sicherheitsforscher dazu entschieden, Informationen zu den Schwachstellen zu veröffentlichen. Die Antwort auf eine Anfrage von heise Security steht derzeit noch aus.
Mittlerweile hat sich Avast gemeldet und versichert, dass die beiden Schwachstellen bereits im Februar 2024 in der Version 24.1 geschlossen wurden. Wir haben die Meldung entsprechend umformuliert. Die Kommunikation mit Avast lief nicht optimal und wie die Sicherheitsforscher mussten wir lange auf ein Feedback warten.
Mögliche Attacken
Die Schwachstellen betreffen den Forschern zufolge den Avast Service. An diesen Stellen sollen Angreifer eine symbolische Verknüpfung anlegen können, um eine Datei zu löschen. Am Ende sollen sie sich darüber höhere Rechte verschaffen können, um eigenen Code im Kontext des Systems auszuführen. Damit so ein Angriff klappt, müssen sie aber bereits über niedrige Rechte verfügen, um Code ausführen zu können. Außerdem kann es zu DoS-Attacken kommen.
Ob es bereits Angriffe auf die Schwachstellen gibt, ist derzeit unbekannt. Weil es noch keine Updates gibt, raten die Sicherheitsforscher von einer Nutzung von Avast Free Antivirus ab.
(des)