Lek in anti-virus software laat virussen door...

Status
Niet open voor verdere reacties.
G

gezina

Inventaris
Lid geworden
27 apr 2001
Berichten
12.948
Lek in anti-virus software laat virussen door

iDEFENSE waarschuwt gebruikers van de anti-virus software van onder andere McAfee, Computer Associates, Kaspersky, Sophos, Eset en RAV voor een lek waardoor aanvallers de virusscanner kunnen omzeilen. Zo bericht security.nl Het probleem zit hem in het parsen van .zip headers. Door het aanpassen van informatie in de lokale en globale header van het .zip bestand kan een aanvaller kwaadaardige code in het bestand plaatsen zonder dat dit door anti-virus software herkend zal worden! Om het lek te exploiten moet een aanvaller het kwaadaardige .zip bestand door de gebruiker laten openen. Iets wat zeer aannemelijk is omdat de virusscanner tijdens het scannen geen virussen heeft aangetroffen. De nieuwste versies van Symantec, Bitdefender, Trend Micro en Panda zijn niet kwetsbaar. Er wordt aangeraden om alle .zip bestanden bij de gateway te filteren. Meer informatie en een reactie van de kwetsbare aanbieders is in deze advisory te vinden.
 
Gezina,

Kan ik jou niet installeren op mijn PC :D :D
Jij ziet de virussen eerder als de programma's

Super dat jij hier altijd meteen bovenop zit :thumb:
Thanx voor de info


Remy
 
Aanvullende informatie:

Diverse anti-virusscanners kunnen eenvoudig worden omzeild

Programma: Diverse anti-virusscanners
Versie: -
Besturingssysteem: Allen

Samenvatting
Diverse anti-virusscanners bevatten een kwetsbaarheid in de manier waarop virussen in een zogenaamd zip-bestand worden opgespoord. Kwaadwillenden kunnen een virus inpakken in een speciaal gefabriceerd zip-bestand. Een aantal virusscanners zullen het virus in het zip-bestand dan niet kunnen vinden. De virusscanners van de volgende anti-virusleveranciers zijn kwetsbaar:

* McAfee
* Computer Associates
* Kaspersky
* Sophos
* Eset
* RAV

Een aantal van deze anti-virusleveranciers hebben een update uitgebracht voor de virusscanner. U wordt aangeraden om deze updates zo snel mogelijk te installeren. Daarnaast dient u altijd voorzichtig te zijn met het openen van zip-bestanden die u niet vertrouwt.
Gevolgen
Aangezien een aantal virusscanners niet goed virussen in een zip-bestand kunnen opsporen, is het risico groter dat uw computer geïnfecteerd wordt.

Oplossingen
Verschillende anti-virusscanners hebben updates uitgebracht. Daarnaast dient u altijd voorzichtig te zijn met het openen van zip-bestanden die u niet vertrouwt. Hieronder volgen de reacties van de anti-virusleveranciers.

* McAfee
McAfee heeft een update uitgebracht voor de huidige 4320 McAfee Anti-Virus-Engine updates (Versie 4398 uitgebracht 13 oktober 2004). Informatie over de updates vindt u via:
http://download.mcafee.com/uk/updates/updates.asp
* Computer Associates
Computer Associates heeft diverse updates beschikbaar gesteld. Meer informatie over deze updates vindt u via:
http://supportconnectw.ca.com/public/ca_common_docs/arclib_vuln.asp
* Kaspersky
Kaspersky heeft op 24 september 2004 bekend gemaakt dat de kwetsbaarheid wordt opgelost in de volgende algemene update voor de scanners 3.x en 4.x. Voor de 5.0 scanners wordt in oktober een zogenaamde 'maintenance pack' uitgebracht.
* Sophos
Sophos heeft het probleem verholpen in versie 3.87.0 van Sophos Anti-Virus. Klanten worden op 20 oktober 2004 automatisch voorzien van deze update. De update geldt niet voor de operating-systemen Windows 95/98/Me. Het probleem wordt voor deze operating-systemen verholpen in versie 3.88.0, die op 24 november 2004 zal uitkomen.
* Eset
Eset heeft op 16 september 2004 updates uitgebracht om het probleem te verhelpen. Deze updates worden automatisch geïnstalleerd via het zogenaamde 'Automatic Virus-Signatures Update'.

Links
http://www.securiteam.com/securitynews/6E00G2ABFY.html
http://www.idefense.com/application/poi/display?id=153&type=vulnerabilities

Technische details
Het probleem treedt op wanneer de scanner een speciaal gefabriceerd zip-bestand controleert.

Een zip-bestand bevat informatie over gecomprimeerde bestanden op twee plaatsen, namelijk in de lokale - en de globale header. De lokale header bevindt voor de gecomprimeerde data van elk bestand. De globale header bevindt zich aan het eind van het zip-bestand. Het is mogelijk om de grootte van een uitgepakt bestand aan te passen in zowel de lokale - als ook in de globale header. Kwaadwillenden kunnen een kwaadaardige bestand comprimeren en het grootte van het uitgepakte bestand in beide headers op 0 bytes zetten. Op deze manier zullen diverse virusscanners het zip-bestand als leeg beschouwen en dus niet scannen.

De kwetsbaarheid in de diverse virusscanners is relevant voor virusscanners op servers. Anti-scanners op een desktop of laptop zullen het gecomprimeerde bestand scannen wanneer het zip-bestand wordt geopend. Op deze manier zal de virusscanner, indien voorzien van de laatste signatures, het kwaadaardig bestand alsnog detecteren. Bron: waarschuwingsdienst.nl
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan