Der Sicherheitsdienstleister n.runs hat mehrere Berichte über Schwachstellen in den Virenscannern NOD32 des Herstellers Eset und Panda Antivirus veröffentlicht, über die ein Angreifer einen Scanner zum Absturz bringen kann oder sogar eigenen Code in den Rechner eines Opfers schleusen und ohne dessen Zutun starten kann. Dazu genügt es, dass Pandas Produkt eine präparierte EXE-Datei einliest, die etwa an einer E-Mail hängt. Panda soll den Fehler laut Bericht erst vor wenigen Tagen korrigiert haben, ob die Korrektur bereits über das automatische Update verteilt wird, lässt der Bericht offen.
Die Schwachstellen in NOD32 sind nach Angaben von n.runs bereits seit Ende Mai geschlossen. Warum die Informationen erst jetzt veröffentlicht werden, ist unklar. Bei NOD32 genügte die Verarbeitung eines manipulierten CAB-Archivs, um einen Heap Overflow zu provozieren und darüber Code einzuschleusen. Zudem führten mit ASPACK und FSG gepackte Dateien zum Absturz oder zu einer hohen Auslastung des Systems.
Siehe dazu auch Fehlerberichte von n.runs:
* NOD32 Antivirus CAB parsing Arbitrary Code Execution Advisory
* NOD32 Antivirus ASPACK parsing Infinite Loop Advisory
* NOD32 Antivirus ASPACK and FSG parsing Divide by Zero Advisory
* Panda Antivirus EXE parsing Arbitrary Code Execution Advisory
Quelle und Links :
http://www.heise.de/security/news/meldung/93068
