Tavis Ormandy von Googles Project Zero hat Details zu schwerwiegenden Sicherheitslücken in der Antivirensoftware des russischen Anbieters Kaspersky enthüllt. Betroffen waren die Versionen 15 und 16 von Kaspersky Antivirus. Erste Hinweise auf die Schwachstellen hatte Ormandy schon Anfang September gegeben. Kaspersky reagierte umgehend und schloß die Lücken mit Updates für seine Produkte.
Dem Bericht von Ormandy zufolge, den Kaspersky weitgehend bestätigt hat, hätte sich ein Angreifer dadurch Systemrechte verschaffen können, dass er der Scan-Software speziell präparierte und in den Formaten DEX, VB6, CHM, ExeCryptor, PE oder Yoda’s Protector gepackte Dateien zur Untersuchung vorlegte. So ließen sich Integer-Überläufe und ein Buffer Overflow auslösen. Um Letzteres beim Entpacken von Dateien künftig zu verhindern, hat Kaspersky bereits einen Schutzmechanismus integriert. Dem Hersteller zufolge wurde das Problem binnen 24 Stunden nach Bekanntwerden behoben. Ormandy macht keine Zeitangabe, lobt aber ausdrücklich die schnelle Reaktion des Anbieters.
Gegenüber ITespresso erklärte Peter Stelzhammer vom Innsbrucker Prüflabor AV-Comparatives, das Problem sei im aktuellen Fall zwar Kaspersky-spezifisch, eigentlich könne es aber bei jedem Hersteller von Antivirensoftware auftreten, der dieselbe Technologie einsetze. „Auch Hersteller, die Sandboxen oder Emulatoren verwenden, kann es treffen, sofern diese Features unsicher implementiert sind.“ Exploits könnten für jede Software geschrieben werden, ob es geschehe, sei nur eine Frage des Aufwands.
„Im Allgemein kann man aber sagen, dass die AV-Hersteller sehr gute Arbeit zum Selbstschutz ihrer Programme leisten beziehungsweise im Normalfall schnell reagieren. Ein anderes Beispiel wäre der FireEye-Hack, bei dem der Fix allerdings sehr lange dauerte. Hier kann man vermutlich nicht mehr von einem professionellen Vorgehen sprechen“, so Stelzhammer weiter.
AV-Test hat bereits den Selbstschutz von Antivirensoftware geprüft. Dabei ging es unter anderem darum, ob bekannte Schutztechniken wie DEP und ASLR verwendet werden. Bei der im vergangenen Jahr durchgeführten Untersuchung, die insgesamt 24 Internet-Security-Suiten umfasste, wurde nach Consumer- und Business-Produkten unterschieden. Die einzigen Produkte, die ASLR und DEP zu 100 Prozent und sowohl in der 32- als auch der 64-Bit-Version einsetzten, stammten von ESET (Consumer) und Symantec (Business). Bei Avira, G Data, McAfee und AVG wurde der Zusatzschutz zu 100 Prozent nur in den 64-Bit-Dateien des Produkts verwendet. Eine Neuauflage der Analyse mit den aktuellen Programmversionen wird AV-Test in etwa zwei Wochen vorlegen. Marx verriet jedoch schon jetzt: „Die Ergebnisse sehen grundsätzlich nicht viel besser aus.“
[mit Material von Peter Marwan, ITespresso.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.
ESET-Experten warnen vor Zero-Day-Exploit, der die Ausführung von schadhaftem Code erlaubt.
Die höchste Verbreitung erzielt die auf Datendiebstahl ausgerichtete Malware Androxgh0st. Bei den Ransomware-Gruppen liebt Clop…
Fraunhofer arbeitet an einer Plattform, die 360°-Live-Streams an mehrere Spielstätten überträgt und den Besuchern Interaktionsmöglichkeiten…
Die kommende Version von Googles Mobilbetriebssystem erreicht Plattform-Stabilität. Damit ist die Entwicklung der APIs von…
Der Manager war bis August 2024 Mitglied des Board of Directors von Intel. Der derzeitige…
Sie erlauben unter anderem das Einschleusen und Ausführen von Schadcode aus der Ferne. Betroffen sind…