Symantec hat auf ein Sicherheitsproblem in mehreren seiner Antivirenprogramme für Unternehmen und Privtanwendern hingewiesen. Durch einen Fehler ist es möglich, den Virenscanner bei der Suche nach Schädlingen in präparierten Archiven auszutricksen. Die Archive sind zwar durch die Manipulation eigentlich in keinem korrekten Format mehr, allerdings einige Anwendungen und Entpacker dennoch in der Lage, enthaltene Dateien ordnungsgemäß zu extrahieren.

Insbesondere auf Sicherheits-Gateways an den Netzgrenzen stellt die fehlende Erkennung ein Problem dar, sodass etwa in Unternehmen nur noch der Scanner auf den Endsystemen beim Auspacken die Möglichkeit hat, eine drohende Infektion abzuwenden. Damit wird nicht zuletzt der Multi-Tier-Ansatz mit verschiedenen Virenscannerprodukten ausgehebelt.

Symantec stuft das Problem dennoch als gering ein und stellt statt eines Updates nur Tipps für mögliche Workarounds in seinem Fehlerbericht zur Verfügung. Administratoren sollten auf den Gateways etwa die Einstellungen so ändern, dass beschädigte Archive verworfen werden. Die Einschätzung solcher Schwachstellen differiert unter den Hersteller von Antivirenprodukten ohnehin sehr stark. F-Secure schätzte das Risiko solch einer Schwachstelle vergangenes Jahr als hoch ein.

Daneben haben kürzlich Frisk (F-Prot), Norman und Ikarus Updates veröffentlicht, um ähnliche Probleme in ihren Scannern zu beseitigen. Der Sicherheitsspezialist Thierry Zoller hatte die Probleme in den Produkten aufgedeckt und an die Hersteller gemeldet. Nach Angaben von Zoller hat zudem Kaspersky kürzlich mit einem stillen Update eine Lücke geschlossen, mit dem sich präparierte, bösartige PDF-Dokumente am Scanner vorschmuggeln ließen, die beim Öffnen im Adobe Reader zu einer Infektion des Systems führen konnten.

Kaspersky arbeitete laut Zoller beim Parsen von PDF-Dokumenten mit einem festen Offset, um festzustellen, ob das Dokument mit der (magischen) Zeichenkette %PDF beginnt. Ist die Zeichenkette dort nicht zu finden, erkannte der Scanner es nicht als PDF-Dokument, während sich offenbar Adobe Reader und Foxit nicht um die Offsets kümmern und stattdessen präparierte Dokumente einlesen und enthaltene JavaScripte ausführen.

Quelle: Heise.de