F-Prot Antivirus scannt nicht alle ZIP-Archive
Ein Fehler in der Scanner-Engine der Antivirus-Software F-Prot führt dazu, dass einige ZIP-Archive mit infizierten Inhalten als harmlos gekennzeichnet werden.
Die Engine des Virenscanners F-Prot von Frisk Software kann ZIP-Archive nicht korrekt entpacken, in denen eine größere ZIP-Versionsnummer als der hexadezimale Wert 15 eingetragen ist. Unabhängig vom tatsächlichen Dateiformat stuft sie solche Archive auch dann als harmlos ein, wenn sie mit bekannten Viren infizierte Dateien enthalten. Die gängigen Entpackprogramme und die in Windows eingebauten ZIP-Funktionen dekomprimieren die Archive jedoch ohne Probleme.
Betroffen sind nach Angaben des Entdeckers der Lücke alle bisherigen Versionen des Scanners für die verschiedenen Betriebssysteme; heise Security konnte den Fehler mit der aktuellen Version des Linux-Scanners nachvollziehen.
Da es sich um einen Fehler in der Scanner-Engine handelt, lässt er sich nicht durch das automatische Signatur-Update beheben. Frisk Software hat angekündigt, ihn mit der nächsten Version der Software zu korrigieren, jedoch bislang keinen Termin für deren Erscheinen genannt.
Wo die F-Prot-Software auf Servern eingesetzt wird, zum Beispiel zum Scannen von E-Mails, sollte der Systemverwalter einen zusätzlichen Virenscanner installieren, um manipulierte ZIP-Archive zu filtern. Auf Desktop-Systemen ist der Fehler weniger schwerwiegend, sofern die Wächter-Funktion der Antiviren-Software aktiv ist. Denn sie findet bekannte Viren, sobald der Anwender ein Archiv entpackt. (je)
