Bitdefender hat hochriskante Sicherheitslücke abgedichtet

Bitdefender hat für die Virenscanner aktualisierte Software verteilt. Damit schließt der Hersteller eine Sicherheitslücke, die Angreifern die Ausweitung ihrer Rechte erlaubt.

Eine Konfigurationseinstellung von seccenter.exe ermöglicht Angreifern, das erwartete Verhalten der Bitdefender-Produkte zu ändern und möglicherweise Drittanbieter-Bibliotheken bei der Ausführung zu laden, erläutern Bitdefenders Entwickler die Sicherheitslücke (CVE-2023-6154, CVSS 7.8, Risiko "hoch"). Damit ließe sich beliebiger Code ausführen, mit den Rechten der Virenschutzsoftware – im Regelfall also mit System-Rechten.

Bitdefender: Update verteilt

Betroffen sind laut Hersteller Bitdefender Total Security, Internet Security, Antivirus Plus und Antivirus Free mit der Versionsnummer 27.0.25.114. Die Lücke schließt die Aktualisierung auf Version 27.0.25.115 oder neuer, was normalerweise das automatische Update erledigen sollte.

Wer diese Heimanwender-Produkte von Bitdefender einsetzt, sollte daher überprüfen, ob die Version des Programms mindestens 27.0.25.115 ist. Falls sie einen niedrigeren Stand hat, sollte das Update unbedingt angeschoben und dann analysiert werden, warum das automatische Update die Aktualisierung nicht heruntergeladen und angewendet hat.

Die Aktualisierung ist laut der Bitdefender-Foren bereits seit dem 13. November 2023 verfügbar. Im Changelog steht lediglich "Allgemeine Korrekturen und Verbesserungen" als Bemerkung dazu. Warum Bitdefender erst jetzt zum Anfang April 2024 diese Information veröffentlicht, bleibt unklar. Der Transparenz hilft eher nicht und es entsteht der Eindruck auch aufgrund des unpräzisen Changelogs, dass Bitdefender die sicherheitsrelevanten Fehler eher unter den Teppich kehren will.

Im Dezember 2021 hatte Bitdefender das Antivirus-Free-Produkt eigentlich eingestellt. So ganz scheint der Hersteller das nicht umgesetzt zu haben, taucht das Produkt doch als betroffen und mit verfügbarem Update dagegen in der Auflistung auf.

(dmk)