Tavis Ormandy von Googles Project Zero hat Details zu schwerwiegenden Sicherheitslücken in der Antivirensoftware des russischen Anbieters Kaspersky enthüllt. Betroffen waren die Versionen 15 und 16 von Kaspersky Antivirus. Erste Hinweise auf die Schwachstellen hatte Ormandy schon Anfang September gegeben. Kaspersky reagierte umgehend und schloß die Lücken mit Updates für seine Produkte.
Dem Bericht von Ormandy zufolge, den Kaspersky weitgehend bestätigt hat, hätte sich ein Angreifer dadurch Systemrechte verschaffen können, dass er der Scan-Software speziell präparierte und in den Formaten DEX, VB6, CHM, ExeCryptor, PE oder Yoda’s Protector gepackte Dateien zur Untersuchung vorlegte. So ließen sich Integer-Überläufe und ein Buffer Overflow auslösen. Um Letzteres beim Entpacken von Dateien künftig zu verhindern, hat Kaspersky bereits einen Schutzmechanismus integriert. Dem Hersteller zufolge wurde das Problem binnen 24 Stunden nach Bekanntwerden behoben. Ormandy macht keine Zeitangabe, lobt aber ausdrücklich die schnelle Reaktion des Anbieters.
Gegenüber ITespresso erklärte Peter Stelzhammer vom Innsbrucker Prüflabor AV-Comparatives, das Problem sei im aktuellen Fall zwar Kaspersky-spezifisch, eigentlich könne es aber bei jedem Hersteller von Antivirensoftware auftreten, der dieselbe Technologie einsetze. „Auch Hersteller, die Sandboxen oder Emulatoren verwenden, kann es treffen, sofern diese Features unsicher implementiert sind.“ Exploits könnten für jede Software geschrieben werden, ob es geschehe, sei nur eine Frage des Aufwands.
„Im Allgemein kann man aber sagen, dass die AV-Hersteller sehr gute Arbeit zum Selbstschutz ihrer Programme leisten beziehungsweise im Normalfall schnell reagieren. Ein anderes Beispiel wäre der FireEye-Hack, bei dem der Fix allerdings sehr lange dauerte. Hier kann man vermutlich nicht mehr von einem professionellen Vorgehen sprechen“, so Stelzhammer weiter.
Dringlichkeit entsprechender Prüfungen und Checks (PDF) hingewiesen habe, denn Sicherheitssoftware im Allgemeinen sei ein ideales Angriffsziel. „Schließlich wird jedes Datenpaket und jede Datei durch sie geprüft und Fehler bei der Verarbeitung dort haben schnell fatale Folgen. Man wird quasi erst durch den Einsatz einer bestimmten Software, die für Sicherheit sorgen soll, für bestimmte Sicherheitsprobleme anfällig.“
Auch Andreas Marx vom Magdeburger Labor AV-Test will zu den gerade erst bekannt gewordenen, spezifischen Lücken in der Kaspersky-Antivirensoftware noch keine konkrete Einschätzung abgeben. Er betont gegenüber ITespresso aber, dass AV-Test bereits auf der Virus Bulletin Conference in Dublin 2005 auf dieAV-Test hat bereits den Selbstschutz von Antivirensoftware geprüft. Dabei ging es unter anderem darum, ob bekannte Schutztechniken wie DEP und ASLR verwendet werden. Bei der im vergangenen Jahr durchgeführten Untersuchung, die insgesamt 24 Internet-Security-Suiten umfasste, wurde nach Consumer- und Business-Produkten unterschieden. Die einzigen Produkte, die ASLR und DEP zu 100 Prozent und sowohl in der 32- als auch der 64-Bit-Version einsetzten, stammten von ESET (Consumer) und Symantec (Business). Bei Avira, G Data, McAfee und AVG wurde der Zusatzschutz zu 100 Prozent nur in den 64-Bit-Dateien des Produkts verwendet. Eine Neuauflage der Analyse mit den aktuellen Programmversionen wird AV-Test in etwa zwei Wochen vorlegen. Marx verriet jedoch schon jetzt: „Die Ergebnisse sehen grundsätzlich nicht viel besser aus.“
[mit Material von Peter Marwan, ITespresso.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…