Sicherheitslöcher in Antivirus-Produkten von Norman
Durch mehrere Schwachstellen können Angreifer infizierte Dateien am Scanner vorbeischmuggeln oder eigenen Code auf einem Zielsystem starten. Die kritischen Lücken sind noch nicht gepatcht.
- Daniel Bachfeld
Durch mehrere Schwachstellen in der Antiviren-Lösung des Herstellers Norman können Angreifer infizierte Dateien am Scanner vorbeischmuggeln oder eigenen Code auf einem Zielsystem starten. Nach Angaben des Sicherheitsdienstleisters n.runs erkennt der Parser von Norman Schädlinge in DOC-Dateien nicht in allen Fällen oder stürzt aufgrund einer Divison durch Null beim Einlesen von DOC-Dateien ab. Zudem können beim Verarbeiten von LZH-Archiven drei Buffer Overflows auftreten, worüber sich Code einschleusen und starten lässt. Dabei ist es unerheblich, ob der Empfänger LZH-Archive verarbeiten kann, es genügt, dass der Scanner etwa den infizierten Anhang einer Mail einliest. Ein ähnliches Problem tritt mit ACE-Archiven auf, dort hat n.runs allerdings nur einen Buffer Overflow gefunden.
Betroffen sind laut Fehlerbericht die Scanner-Engine 5.90 und vorherige Versionen. Zumindest die Fehler beim Parsen von DOC-Dateien sind seit dem Erscheinen der Version 5.91.02 Mitte Juni behoben. Die vier kritischen Buffer Overflows sollen aber auch in der neuen Fassung noch zu finden sein. Einen Workaround schlägt n.runs nicht vor.
Dass der Sicherheitsdienstleister trotz fehlender Lösung des Problems trotzdem die Informationen veröffentlicht, mag an der Reaktion von Norman liegen. So stand die gesamte Kommunikation zwischen n.runs und Norman wohl unter keinem guten Stern. Zuerst scheiterte die verschlüsselte Kommunikation, weil Norman nach Angaben von n.runs eine inkompatible PGP-Version benutzte. Stattdessen wurden die vertraulichen Informationen per passwortgeschütztem RAR-Archiv gemailt.
In den weiteren Mails sah n.runs dann seine Security Vulnerability Reporting Policy (RFP) verletzt, weil Norman keine eigenen Advisories zu den Lücken veröffentlichen wollte – und es demzufolge auch keine Credits für n.runs geben sollte. Allerdings hatte Norman nach Meinung von n.runs die RFP, die den Ablauf von der Benachrichtigung des Herstellers, über das Testen von Patches bis hin zur gemeinsamen Veröffentlichung der Lücke regeln soll, durch die Annahme von Proof-of-Concept-Exploits implizit akzeptiert. Laut n.runs reagierte Norman nicht mehr, worauf dann die Fehlerberichte ohne weitere Absprache veröffentlicht wurden.
Siehe dazu auch:
- Norman Antivirus DOC parsing Divide by Zero Advisory, Fehlerbericht von n.runs
- Norman Antivirus ACE parsing Arbitrary Code Execution Advisory, Fehlerbericht von n.runs
- Norman Antivirus LZH parsing Arbitrary Code Execution Advisory, Fehlerbericht von n.runs
- Norman Antivirus DOC parsing Detection Bypass Advisory, Fehlerbericht von n.runs
(dab)
