Sicherheitsupdate: Avast Free Antivirus ist verwundbar

Angreifer können an mehreren Sicherheitslücken in der Schutzsoftware Avast Free Antivirus ansetzen und im schlimmsten Fall Schadcode im Kontext des Systems ausführen. Mittlerweile haben die Entwickler die Lücken geschlossen.

Zero-Day-Lücken

Vor den acht Schwachstellen warnen Sicherheitsforscher von Trend Micros Zero Day Initiative in mehreren Beiträgen. Einige Lücken (etwa CVE-2024-7237 "hoch" und CVE-2024-7227 "hoch") haben sie eigenen Angaben zufolge bereits 2023 an Avast gemeldet. Welche Betriebssysteme davon betroffen sind, geht aus den Warnmeldungen nicht hervor. Die Schutzsoftware gibt es für Android, macOS und Windows. Ob davon auch die Premium-Version betroffen ist, ist derzeit unklar. Die Forscher nennen ausschließlich die Free-Variante.

Die Forscher führen aus, Avast seitdem regelmäßig kontaktiert zu haben. Die Verantwortlichen haben sich ihnen zufolge aber nie zurückgemeldet. Nun haben sich die Sicherheitsforscher dazu entschieden, Informationen zu den Schwachstellen zu veröffentlichen. Die Antwort auf eine Anfrage von heise Security steht derzeit noch aus.

Mögliche Attacken

Die Schwachstellen betreffen den Forschern zufolge den Avast Service. An diesen Stellen sollen Angreifer eine symbolische Verknüpfung anlegen können, um eine Datei zu löschen. Am Ende sollen sie sich darüber höhere Rechte verschaffen können, um eigenen Code im Kontext des Systems auszuführen. Damit so ein Angriff klappt, müssen sie aber bereits über niedrige Rechte verfügen, um Code ausführen zu können. Außerdem kann es zu DoS-Attacken kommen.

Ob es bereits Angriffe auf die Schwachstellen gibt, ist derzeit unbekannt. Weil es noch keine Updates gibt, raten die Sicherheitsforscher von einer Nutzung von Avast Free Antivirus ab.

(des)