Die Antivirenlösungen von Panda vergeben bei der Installation vollständige Zugriffsrechte für jeden auf das Programmverzeichnis und die darin liegenden Dateien. Dadurch können Benutzer mit eingeschränkten Konten ihre Rechte ausweiten, indem sie etwa die ausführbaren Dateien der Panda-Dienste durch eigene Programme ersetzen.
Das Problem ist schon länger bekannt, die c't wies in den vergangenen Virenscanner-Tests immer wieder darauf hin (vergleiche auch den Virenscanner-Test im aktuell im Handel erhältlichen c't-Sonderheft Security). Panda hat das Problem in der Internet Security Suite 2007 mit der Version 11.01.00 behoben, indem die Suite die Dateien überwacht und den Zugriff darauf verweigert. Für Panda Antivirus 2007 steht allerdings kein Update bereit, dort können Anwender unter anderem die Dienste pavsrv51.exe, psimsvc.exe sowie psctrls.exe durch eigene Anwendungen ersetzen.
Der Fehler findet sich auch in der kürzlich veröffentlichten Version Panda Antivirus 2008, die Internet Security Suite 2008 ist hingegen wie die Vorgängerversion geschützt. Der Marketingdirektor von Panda Deutschland, Markus Mertes, bestätigte die Lücke gegenüber heise Security. Die Entwickler testeten derzeit jedoch einen Patch, der das Problem beheben soll. Er soll noch im Laufe des heutigen Mittwochs bereitgestellt werden, erklärte Mertes weiter. Es sei allerdings noch unklar, ob der Patch per automatischem Update verteilt wird oder ob Anwender einen vollständigen Installer von Hand herunterladen und installieren müssten.
Eleganter wäre sicherlich, die Standard-Datei- und -Verzeichnisrechte von Windows für Programmverzeichnisse zu nutzen und beispielsweise Updates über einen Dienst einzuspielen, der die dafür nötigen Rechte besitzt. Andere Antivirenhersteller setzen auf einen solchen Mechanismus und haben nicht mit Lücken zu kämpfen, die aufgrund zu weit gefasster Dateirechte die Ausweitung von Benutzerrechten zulassen.
Quelle :
www.heise.de
