Sicherheitslecks in Virenscannern
In Trend Micros Virenscannern können bösartige Individuen beliebigen Code einschleusen. Avast für Server fragt nicht immer nach dem eingestellten Passwort.
Der Sicherheitsdienstleister iDefense hat zwei Schwachstellen in den Antivirus-Produkten von Trend Micro aufgespürt, durch die Angreifer beliebigen Programmcode einschleusen und mit Systemrechten ausführen können. Außerdem hat Alwils Virenscanner Avast Server Edition nicht immer nach dem Passwort gefragt, wenn eines eingestellt war.
Trend Micros Virenscanner kommt beim Verarbeiten von manipulierten UPX-komprimierten Dateien aus dem Tritt. Das kann zu einer Speicherverletzung und somit zum Absturz des Scanners führen, iDefense spekuliert jedoch, dass möglicherweise auch Code eingeschmuggelt und mit den Rechten des Dienstes ausgeführt werden könnte. Diese Lücke kann ein Angreifer beispielsweise mittels präparierter E-Mails ausnutzen.
Eine zweite Sicherheitslücke hat iDefense in der Datei TmComm.sys ausgemacht. Sie gehört zum Rootkit-Erkennungsmodul und stellt eine Geräteschnittstelle bereit. Allerdings darf die Gruppe "Jeder" schreibend auf die Schnittstelle zugreifen. Dadurch können lokal angemeldete Benutzer auf Ein- und Ausgabefunktionen (IOCTLs) zugreifen, die eigentlich privilegierten Nutzern vorbehalten sind. Zusätzlich überprüfen die IOCTL-Routinen die von Anwendersoftware übergebenen Adressen nicht. Das führt dazu, dass lokale Anwender beliebige Speicherbereiche überschreiben oder eigenen Programmcode mit Systemrechten ausführen können.
Trend Micro liefert Updates aus, die die Fehler in den betroffenen Versionen – von nahezu allen Endanwender-Lösungen bis hin zu den Server-Produkten – beseitigen. Wenn jedoch das automatische Update aus irgendwelchen Gründen deaktiviert ist, sollten betroffene Administratoren umgehend die bereitgestellten Aktualisierungen einspielen. Alwil liefert ebenfalls eine aktualisierte Version der Server-Edition aus, die nun in jedem Fall nach einem konfigurierten Passwort fragt.
Siehe dazu auch:
- Antivirus UPX Parsing Kernel Buffer Overflow Vulnerability, Fehlerbericht von Trend Micro
- Trend Micro AntiVirus UPX Parsing Kernel Buffer Overflow Vulnerability, Sicherheitsmeldung von iDefense
- TmComm Local Privilege Escalation Vulnerability, Fehlerbericht von Trend Micro
- Trend Micro TmComm Local Privilege Escalation Vulnerability, Sicherheitsmeldung von iDefense
- avast! Server Edition Revision history, Liste der Änderungen in der aktuellen Avast-Server-Edition
(dmk)
