Thema: F-Secure diverses

[SiLæncer]

Manipulierte ARJ-Archive erlauben Ausführung von Programmcode

In den Virenscannern von F-Secure wurde eine Sicherheitslücke entdeckt, worüber Angreifer mit Hilfe einer manipulierten ARJ-Datei beliebigen Programmcode auf fremde Systeme schleusen und ausführen können. Es stehen bereits Patches bereit, um das Sicherheitsloch zu schließen.

Das Sicherheitsleck in den Virenscannern von F-Secure erlaubt es einem Angreifer, über speziell formatierte ARJ-Archive einen Buffer Overflow in der Software auszulösen. Darüber lässt sich dann beliebiger Programmcode ausführen. Das Risiko durch das Sicherheitsloch wird von F-Secure als hoch eingestuft.

Wie auch das kürzlich bekannt gewordene Sicherheitsloch in zahlreichen Symantec-Produkten wurde das Sicherheitsleck in den F-Secure-Produkten von den Sicherheitsexperten von ISS X-Force entdeckt.

F-Secure bietet Patches für die betroffenen Produkte zum Download an. Je nach Applikation wird der Patch automatisch via Update-Funktion eingespielt oder er muss manuell von Hand installiert werden. Eine Übersicht der betroffenen Produkte gibt das betreffende Security Bulletin.

Quelle und Links : http://www.golem.de/0502/36253.html

[SiLæncer]

Vor dem Hintergrund eines versteckten Ordners in Symantecs Programms SystemWorks hat sich der Symantec-Konkurrent F-Secure zu Wort gemeldet. Im Blog der F-Secure Security Labs geben die Sicherheitsspezialisten zu Protokoll, dass Ihnen nur wenige gutartige Anwendungen untergekommen sind – weniger als ein Dutzend –, die Rootkit-artiges Cloaking einsetzen, die also Daten oder Anwendungsteile vor dem Anwender zu verstecken versuchen. Bei den meisten handele es sich auch um "sehr seltene Tools". Um welche Programme es sich handelt, listet der Beitrag allerdings nicht auf.

Cloaking ist insofern auch bei gutartigen Anwendungen kritisch, da bösartige Programme wie Trojaner es für ihre Zwecke nutzen könnten. Aus diesem Grund will Symantec eine entsprechende Funktion aus seinem Produkt entfernen. Bei den von F-Secure begutachteten Programmen besteht laut dem Blog-Beitrag wenig Gefahr. Die Anwendungen seien allesamt so sicher konzipiert, dass Angreifer sie kaum ausnutzen können. Nichtsdestotrotz halten sie Cloaking bei gutartigen Anwendungen für eine grundsätzlich falsche Herangehensweise.

Quelle und Links : http://www.heise.de/newsticker/meldung/68339

[SiLæncer]

Das fehlerfreie Scannen von Archiven und komprimierten Dateien scheint die Hersteller von Antivirenprodukten vor enorme Probleme zu stellen. Nicht nur, dass sie oftmals Schädlinge in präparierten Archiven übersehen. Oft provozieren solche Dateien auch noch einen Buffer Overflow, über den sich Schadcode auf ein System schleusen und mit den Rechten des Scanners ausführen lässt. Besonders prekär ist dies, wenn es sich dabei um zentrale Sicherheitskomponenten wie Scanner auf Gateways oder Servern handelt.

Heute meldet F-Secure in einem Advisory genau diese beiden Schwachstellen: Ein Buffer Overflow bei der Verarbeitung von ZIP-Archiven. Zudem erkennen die Scanner in bestimmten RAR- und ZIP-Dateien enthaltene Schädlinge nicht immer. Betroffen sind sämtliche Versionen von F-Secures Anti-Virus-Produkten für Windows und Linux. Der Hersteller stellt Hotfixes zur Verfügung, die etwa auf Desktop-Systemen automatisch installiert werden. Auf Gateways und Servern müssen die Administratoren die Patches per Hand einspielen.

Siehe dazu auch:

    * Code execution vulnerability in ZIP and RAR-archive handling , Fehlerreport von F-Secure

    * ClamAV 0.88 schließt Lücke bei UPX-Dekomprimierung, Meldung auf heise Security
    * Symantecs Antivirenprodukte stolpern über RAR-Archive, Meldung auf heise Security
    * Pandas Antivirenlösung stolpert über ZOO-Archive, Meldung auf heise Security
    * F-Prot Antivirus scannt nicht alle ZIP-Archive , Meldung auf heise Security
    * Archive lassen Virenscanner NOD32 den Puffer überlaufen, Meldung auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/68534

[Doc Stone]

Danke für den Hinweis.

Hab mir gleich mal den Hotfix auf der F-Secure-Page geholt.

[SiLæncer]

F-Secure hat ein Update für seine Virenscanner herausgegeben, das zwei Probleme beseitigen soll, bei denen die Produkte Dateien nicht richtig überprüfen und somit darin enthaltene Schädlinge nicht erkennen. So brechen die Scanner die Überprüfung ausführbarer Dateien mit besonderen Namen mit einem Fehler einfach ab, obwohl der Anwender sie weiterhin etwa mit einem Doppelklick starten kann. Außerdem überwachen die Scanner unter bestimmten Umständen Wechseldatenträger nicht mehr, wenn die Prüfung von Netzwerlaufwerken deaktiviert ist. Betroffen sind nur die Client- und Server-Produkte für Windows:

    * F-Secure Anti-Virus 2003 - 2006
    * F-Secure Internet Security 2003 - 2006
    * F-Secure Service Platform for Service Providers 6.xx und frühere
    * F-Secure Anti-Virus for Workstations version 5.44 und frühere
    * F-Secure Anti-Virus Client Security version 6.01 und frühere
    * F-Secure Anti-Virus for Windows Servers version 5.52 und frühere
    * F-Secure Anti-Virus for Citrix Servers version 5.50 - 5.52
    * F-Secure Anti-Virus for MIMEsweeper version 5.61 und frühere


Für Anti-Virus 2003 - 2006, Internet Security 2003 - 2006, F-Secure Personal Express und Internet Security for Service Providers werden die Updates automatisch verteilt und installiert. Anwender der anderen Produkte müssen die Patches selbst herunterladen und einspielen.

Die Software für Linux und Mobilgeräte sowie die Gateway-Anwendungen sind nach Angaben von F-Secure nicht betroffen.

Siehe dazu auch:

    * Scanning bypass vulnerability in antivirus products for Windows, Fehlerbericht von F-Secure

Quelle und Links : http://www.heise.de/security/news/meldung/74849

[SiLæncer]

Der Sicherheitsdienstleister Layered Defense hat eine Schwachstelle in F-Secures Client Security gemeldet. Sie ermögliche lokalen Nutzern, zumindest einen Denial-of-Service auszuführen. Möglicherweise können sie aber auch ihre Rechte dadurch ausweiten.

Der Fehler basiert auf einer fehlerhaften Verarbeitung von so genannten Format-Strings im Feld für den Namen des Management-Servers. Durch die Eingabe einer präparierten Zeichenkette mit Format-String-Ausdrücken als Servernamen unter den Kommunikationseinstellungen können Nutzer beliebige Speicherbereiche lesen und beschreiben.

Betroffen ist F-Secures Client Security 6.02. Der Hersteller stellt einen Hotfix bereit, der die Schwachstelle schließt.

Siehe dazu auch:

    * Sicherheitsmeldung von Layered Defense
    * Download der Hotfixes von F-Secure

Quelle und Links : http://www.heise.de/security/news/meldung/87057

[SiLæncer]

F-Secure hat mehrere Sicherheitslücken in seinen Antivirenprodukten für den Konsumenten- und Unternehmensbereich gemeldet. Angreifer können dadurch mit manipulierten ausführbaren Dateien oder Archiven Schadcode einschmuggeln und ausführen oder den Dienst lahm legen.

Präparierte LHA-Archive können beim Entpacken einen Pufferüberlauf auslösen. Es handelt sich um dieselben Fehler, die in GZIP bereits im Herbst vergangenen Jahres geschlossen wurden. Sergio Alvarez von n.runs hat weitere Lücken bei der Verarbeitung manipulierter Archive und ausführbarer Dateien entdeckt, die die F-Secure-Produkte in eine Endlosschleiße schicken können.

Eine dritte Sicherheitslücke kann beim Verarbeiten sogenannter I/O Request Pakets (IRP) im Echtzeitscanner auftreten, der den von ihm zugegriffenen Adressraum nicht korrekt überprüft. Lokale Anwender können dadurch ihre Rechte ausweiten.

Für die Konsumenten-Produkte – etwa F-Secure Anti-Virus und Internet Security – liefert F-Secure bereits Updates aus, die die Software selbstständig installiert. Für die Unternehmenslösungen müssen Administratoren die Patches, die F-Secure in den Sicherheitsmeldungen verlinkt, selbst herunterladen und einspielen.

Siehe dazu auch:

    * Buffer overflow vulnerability in handling of specially crafted LHA archives, Sicherheitsmeldung von F-Secure
    * IOCTL vulnerability in Real-time Scanning component of F-Secure workstation and file server products for Windows, Fehlerbericht von F-Secure
    * Vulnerabilities in scanning of specially crafted archives and certain packed executables, Fehlermeldung von F-Secure


Quelle und Links : http://www.heise.de/security/news/meldung/90374

[SiLæncer]

F-Secure hat einen Fehlerbericht veröffentlicht, in dem auf die Möglichkeit hingewiesen wird, mit LHA- und RAR-Archiven den Virenscanner auszutricksen. Bei bestimmten manipulierten Archiv-Headern ist der Scanner nicht in der Lage, die Datei zu öffnen und deren Inhalt zu prüfen. In der Folge bleibt ein Schädling unentdeckt. Dies wird insbesondere dann zum Problem, wenn etwa ein Mail-Gateway die einzige Stelle ist, an der ein Virenschutzprogramm nach schädlichen Anhängen sucht und auf dem PC der Anwender kein Virenschutzprogramm installiert ist. F-Secure schließt nicht aus, dass ein Anwender-Programm auch eine fehlerhafte Datei öffnen und den Inhalt ausführen kann. Sofern ein Virenscanner aber auf dem PC installiert ist, schlägt der Wächter nach dem Entpacken zu.

Betroffen sind:

F-Secure Anti-Virus for Workstations 7.00
F-Secure Anti-Virus for Windows Servers 7.00
F-Secure Anti-Virus for Citrix Servers 5.52
F-Secure Anti-Virus for MIMEsweeper 5.61
F-Secure Client Security version 7.00
F-Secure Anti-Virus for MS Exchange 7.00
F-Secure Internet Gatekeeper 6.61
F-Secure Internet Security 2005, 2006 und 2007
F-Secure Anti-Virus 2005, 2006 and 2007
Solutions based on F-Secure Protection Service for Consumers 7.00
F-Secure Anti-Virus for Linux Servers 4.65
F-Secure Anti-Virus for Linux Gateways 4.65
F-Secure Linux Client Security 5.52
F-Secure Linux Server Security 5.52
F-Secure Internet Gatekeeper for Linux 2.16

Ein automatisch verteiltes Update behebt die vom Sicherheitsdienstleister n.runs gefundenen Probleme. Kürzlich musste F-Secure schon einmal seine Antiviren-Produkte patchen, da ein Buffer Overflow beim Verarbeiten von Archiven auftrat, über den sich Code einschleusen und starten ließ.

Siehe dazu auch:

    * Scan bypass vulnerabilities in handling of specially crafted LHA and RAR archives, Fehlerbericht von n.runs -> http://www.f-secure.com/security/fsc-2007-5.shtml

Quelle : www.heise.de

[SiLæncer]

Gestern haben offenbar türkische Hacker eine Sicherheitslücke in F-Secures Forum missbraucht, um in das System einzubrechen und die Startseite auszutauschen. F-Secure hat in seinem Weblog einen Screenshot veröffentlicht, in dem das Defacement zu sehen ist.

Laut F-Secure haben die Hacker eine Lücke in der verwendeten .asp-Forum-Software Snitz Forums 2000 ausgenutzt, für die die Entwickler am Dienstag vergangener Woche ein Sicherheits-Update veröffentlicht haben. Allerdings fehlt eine Ankündigung des Sicherheitspatches auf der Hauptseite zu der Software – deshalb nahm offenbar keiner von F-Secures Administratoren davon Notiz.

F-Secure zufolge sei der Server selbst, auf dem die Software laufe, ordentlich gegen Angriffe gehärtet. Zunächst nahm das Unternehmen den Server vom Netz, inzwischen ist wieder eine rudimentäre Seite ohne die Foren online. Wann die Diskussionsforen wieder bereit stehen werden, ist noch unklar.

Quelle : www.heise.de

[SiLæncer]

F-Secure hat Updates für mehrere seiner Produkte veröffentlicht, um eine Schwachstelle beim Scannen zu beseitigen. Laut Bericht erkennt die Scan-Engine Schädlinge in bestimmten CAB- und RAR-Archiven nicht, die etwa per Mail oder über das Web auf einen PC gelangen. Allerdings schlägt der Scanner beim Öffnen des Archivs durch den Anwender zu und warnt den Nutzer.

Betroffen sind sowohl alle Client-Produkte als auch mehrere Server- sowie Gateway-Produkte. Bei den Client- und Server-Lösungen stuft F-Secure das Risiko als mittel ein, bei den Gateway-Produkten als hoch. Laut Hersteller ist der Fehler beim Umgang mit CAB-Archiven bereits durch die automatischen Updates der Produkte beseitigt, für die RAR-Schwachstelle ist allerdings die manuelle Installation eines Hotfixes erforderlich. Eine genaue Liste der einzelnen Fixes für die jeweiligen Produkte ist im Original-Bericht von F-Secure zu finden.

Entdeckt hatte die Lücke der Sicherheitsdienstleister n.runs, der bereits in der Vergangenheit mehrfach auf Sicherheitslücken in Virenscannern hinwies. Der Hintergrundartikel "Antiviren-Software als Einfallstor" auf heise Security zeigt die möglichen Gefahren von Antivirensoftware auf.

Quelle : www.heise.de

[SiLæncer]

Durch eine Sicherheitslücke in F-Secure Anti-Virus und Internet Security kann man sein System beim Besuch einer speziell präparierten Webseite mit Schadcode infizieren, warnt der Hersteller. Verwundbar sind jeweils die Versionen 2010 und die aktuelle 2011. Auch Version 9 des F-Secure Protection Service (Consumer und Business) ist anfällig.

Die Schwachstelle befindet sich im ActiveX-Modul fsresh.dll und betrifft somit nur Nutzer des Internet Explorers und darauf aufsetzender Browser. Durch die Lücke kann ein Angreifer die Fehlerbehandlungsroutine überschreiben und so eigenen Shellcode ausführen. Entdeckt hat die Lücke der Sicherheitsexperte Anil Aphale, der auch bereits einen Exploit veröffentlicht hat.

Abhilfe schafft ein Patch, den F-Secure seit einigen Tagen über die automatische Update-Funktion der Programme verteilt. Anwender der betroffenen Programme sollten also sicherstellen, dass ihr System mit den neuesten Updates versorgt wird.

Quelle : www.heise.de