Sicherheitsloch in RAVs Online-Virenscanner
Ein Fehler im ActiveX-Control des Online-Virencheckers provoziert einen Buffer Overflow.
Der Sicherheitsexperte Tri Huynh von Sentry Union berichtet auf der Mailing-Liste Full-Disclosure von einem möglichen Buffer Overflow im ActiveX-Control des Online-Virenscanner des Antivirenspezialisten RAV.
Durch die Übergabe eines zu langen Arguments an die Funktion browseForFolder() kann der Stack überschrieben werden. Da diese Funktion aus der shell32.dll, also einer Windows-Bibliothek, importiert wird, könnte der Fehler auch dort seine Ursache haben. Ob mit dem Pufferüberlauf beliebiger Code auf dem Stack platziert und ausgeführt werden kann, ist nicht bestätigt. Der Hersteller ist über den Fehler informiert, hat aber noch nicht reagiert. Der Entdecker des Sicherheitslochs empfiehlt, das ActiveX-Control ravonline.dll im Ordner Downloaded Program Files unter dem Windows-Stammverzeichnis zu löschen.
Nach fehlerhaften ActiveX-Controls der Online-Virenscanner von TrendMicro und Symantec ist dies bereits der dritte, von solchen Bugs betroffene Antiviren-Anbieter.
Siehe dazu auch den Kommentar auf heise Security: (dab)
