Thema: Avast diverses ...

[Jürgen]

Die Virenscanner der Firma Avast weisen zwei kritische Fehler bei der Behandlung von ACE-Archiven auf. Das ACE-Format ist vor allem in der Underground-Szene weit verbreitet.

Schuld an dem Fehler in den Virenscannern ist die Drittherstellerkomponente UNACEV2.DLL, die Avasts Virenscanner zum Dekomprimieren und Analysieren von ACE-Archiven nutzen.

Einer der Fehler ermöglicht ein so genanntes Directory-Traversal; dies bedeutet, dass sich mit manipulierten Dateinamen in ACE-Archiven Dateien an beliebige Orte im Dateisystem schreiben lassen. Der andere Fehler führt zu einem Stack-basierten Buffer-Overflow durch eine fehlerhafte Bereichsprüfung, durch den schädlicher Code auf dem System zur Ausführung kommen kann; die DLL kann nur mit bis zu 290 Zeichen langen Dateinamen umgehen -- ist dieser länger, läuft der allozierte Puffer über.

Betroffen sind alle Virenscanner des Herstellers, vom Heimanwenderprodukt bis zum Enterprise-Scanner. Avast stellt auf seiner Homepage aktualisierte Versionen zur Verfügung, die diese Lücken nicht mehr aufweisen. Diese sollten aufgrund der Ausnutzbarkeit der Lücke beispielsweise durch E-Mails mit präparierten Dateianhängen umgehend eingespielt werden.

Siehe dazu auch:

    * Security Advisory von Secunia
    * Downloads der aktualisierten Avast-Scanner

(dmk/c't) Quelle und Links:
http://www.heise.de/newsticker/meldung/61978

[SiLæncer]

In den letzten Monaten mussten wir bereits mehrfach über Probleme von Antivirus-Software bei der Behandlung komprimierter Archivdateien berichten. Der britische Hersteller Sophos und die tschechische Firma Alwil setzen die Fehlerserie fort. Wie schon McAfee, Symantec und etliche andere vor ihnen müssen sie mit einem Update Schwachstellen ausräumen, die von Angreifern genutzt werden könnten.

In mehreren Sophos-Produkten wurde ein Fehler bei Behandlung von Archiven im Format "BZip2" entdeckt. Sind in einzelnen Feldern einer Datei überlange Einträge vorhanden, kann der Virenscanner abstürzen. Dies geschieht nur, wenn die Prüfung innerhalb komprimierter Archive aktiviert ist. Standardmäßig ist diese Option ausgeschaltet. Durch Ausnutzung der Schwachstelle könnte ein schädliches Programm den Virenscanner ungeprüft passieren. Es existiert ein Demo-Exploit, der den Fehler aufzeigt. Updates von Sophos die den Fehler beheben, sind bereits verfügbar.

Das Antivirus-Programm Avast des tschechischen Herstellers Alwil hat hingegen Probleme mit komprimierten Dateien im Format "ACE". Grund sind Fehler in einer Programmbibliothek, die nicht von Alwil selbst entwickelt wurde. Die Datei "UNACEV2.DLL" dient zum Entpacken der ACE-Archive. Sie enthält gleich mehrere problematische Fehler.

Der erste kann dazu ausgenutzt werden, Dateien in übergeordnete Verzeichnisebenen zu schreiben, weil die Pfadangaben im Archiv nicht sorgfältig genug geprüft werden. Sie können eine Konstruktion wie "../" oder einen absoluten Pfad wie "c:\windows\" enthalten. Der zweite Fehler ist ein Pufferüberlauf, der auftritt, wenn ein Archiv eine Datei mit einem Namen enthält, der länger als 290 Zeichen ist. Beim Programmabsturz könnte in den Arbeitsspeicher eingeschleuster schädlicher Code ausgeführt werden.

Alvil stellt ein Update auf die Version 4.6.691 von Avast Home und Avast Home Professional bereit, das den Fehler beseitigt.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/116378/index.html

[Jürgen]

Das Problem mit Archiven kann ich aus eigener Erfahrung für Norton AV 2004, komplett aktualisiert, voll bestätigen. Ich hatte eine beschädigte (FAT32-)Platte mit diversen fehlerhaften aber definitiv Schädlings-freien Archiv-Dateien, RAR SFX, ACE, ACE SFX und ZIP. Etliche davon brachten den OnDemand-Scanner reproduzierbar zum Absturz. Auch später angefertigte Kopien auf einer intakten Partition zeigten das Verhalten. Spasseshalber habe ich die Dinger 'mal in ein weiteres ACE-Archiv eingetütet, selbes Ergebnis.
IZArc beispielsweise konnte mit den schadhaften Archiven trotzdem noch normal umgehen, bis auf die defekten Teile, die dann eben nicht zu entpacken waren.
Das lässt mich schlussfolgern, dass die bei NAV mitgelieferten Entpack-Routinen weiterhin Fehler enthalten. Sicher lässt sich sowas dann auch ausnutzen.
Allerdings werde ich mir daran die Finger nicht schmutzig machen.

Also sollten die DEC*.DLLs schleunigst überarbeitet (und ergänzt!!!) werden...
Ich denke nicht, dass NAV 2005 da anders ist, denn der Support für 2004 hält ja noch an.

Ansonsten kann man nur empfehlen, fragwürdige Archive möglichst nicht mit den Original-Tools zu öffnen, denn gerade deren Sicherheits-Lücken werden sicher überwiegend angegriffen. Weniger verbreitete Archiver werden höchstwahrscheinlich in solchen Fällen andere Reaktionen zeigen, die der Angreifer dann so hoffentlich nicht nutzen kann.
Ich vermute die Schwachstellen nämlich nicht in den Kompressions-Algos selbst, sondern in deren Handhabung durch die Software.
Und natürlich sollte der Online-Wächter aktiv sein bzw. dem Entpacker das Antiviren-Programm mitgeteilt, wann immer mit Archiven gearbeitet wird.

[SiLæncer]

Die Avast!-Virenscanner des tschechischen Unternehmens Alwil patzen beim Verarbeiten von chm-Dateien. Angreifer könnten Nutzern der Scanner beispielsweise mit präparierten E-Mails Schadcode unterschieben, der mit den Rechten des Benutzers ausgeführt wird, meldet der französische Sicherheitsdienstleister FrSIRT.

Betroffen sind Versionen bis einschließlich 4.7.827 der kostenlosen und der Professionell-Variante. In Avast! 4.7.844 schaltet Alwil einfach den chm-Entpacker ab. Dadurch erkennt der Scanner allerdings möglicherweise Schadcode in diesen Hilfe-Dateien nicht mehr. Betroffene Anwender sollten daher erwägen, bis zur sauberen Fehlerbeseitigung durch Alwil auf einen anderen Virenscanner umzusteigen.

Siehe dazu auch:

    * Changelog zum Avast-Release 4.7.844
    * Avast! CHM Unpacker File Handling Remote Buffer Overflow Vulnerability, Sicherheitsmeldung des FrSIRT

Quelle und Links : http://www.heise.de/security/news/meldung/73846

[SiLæncer]

Angreifer können durch einen Pufferüberlauf in den Avast-Virenscannern Schadcode einschleusen. Die Scan-Engine, die demnächst auch in GDatas Antivirensoftware ihren Dienst leisten soll, kann beim Verarbeiten von manipulierten LHA-Archiven mit überlangen Einträgen in den Headern aus dem Tritt geraten. Dies könnten Angreifer etwa durch Anhänge in E-Mails ausnutzen.

Laut der Sicherheitsmeldung der Hustlelabs lässt sich der Fehler verlässlich ausnutzen. Betroffen sind die Desktop-Scan-Engines vor Version 4.7.869 sowie die Server-Engines vor 4.7.660. Diese sind als OEM-Versionen in zahlreichen anderen Produkten vertreten, etwa im Interner Anywhere eMailServer von TN North Software, Merak Email Server von IceWarp Software, MailMax Server von SmartMax Software und weiteren.

Die aktuellen Scan-Engines enthalten den Fehler nicht mehr. Sie sollten inzwischen mit den Update-Mechanismen der Software ausgeliefert werden.

Siehe dazu auch:

    * alwil avast! Anti-virus Engine Remote/Local Heap Overflow (pdf), Sicherheitsmeldung der Hustlelabs

Quelle und Links : http://www.heise.de/security/news/meldung/78020

[SiLæncer]

Der Sicherheitsdienstleister n.runs hat eine Schwachstelle in der Avast-Antivirenlösung von Alwil entdeckt, durch die Angreifer mit manipulierten CAB-Dateien Schadcode in betroffene Systeme einschleusen konnten. Der Fehler kam durch eine Ganzzahlenumwandlung in den Verarbeitungsroutinen für das Dateiformat zustande, in deren Folge ein Pufferüberlauf auftreten konnte. Betroffen sind Avast-Versionen vor 4.7.700. Alwil verteilt Patches über den automatischen Update-Mechanismus, die die Sicherheitslücke schließen.

Siehe dazu auch:

    * Avast! Antivirus CAB parsing Arbitrary Code Execution Advisory, Sicherheitsmeldung von n.runs -> http://archives.neohapsis.com/archives/fulldisclosure/2007-05/0448.html

Quelle : www.heise.de

[BananaJoe]

muss den sowas sein irgendwann brauchen wir einen eigenen 64 bit prozessor für den virenscanner das ist doch verschwendung von rechenleistung

[SiLæncer]

Der Hersteller von Antivirensoftware Alwil hat ein Update seiner Virenscan-Engine avast! veröffentlicht, das mindestens zwei sicherheitsrelevante Fehler beseitigt. Die in avast! 4 Home und Professional Edition eingesetzte Engine wies bis vor Version 4.7.1098 Lücken im Tar- und RAR-Unpacker auf, die Angreifer unter anderem zum Einbruch in ein System ausnutzen konnten. Zumindest bei der Tar-Lücke soll es dafür laut Bericht ausgereicht haben, eine E-Mail zu öffnen oder eine manipulierte Webseite zu besuchen.

Anwender sollten die aktualisierte Fassung 4.7.1098 bereits über das automatische Update erhalten haben. Allerdings fragt das Programm nach, ob es die neue Version auch wirklich installieren soll. Auch andere Hersteller von Antivirensoftware setzen die avast-Engine ein. Unklar ist aber, ob dort ebenfalls der Tar-Unpacker zum Einsatz kommt oder ein eigener genutzt wird. Unter anderem greift GDATAs AntiVirenKit 2007 und 2008 auf die avast-Engine zurück. Ein Antwort seitens GDATA auf eine Anfrage von heise Security steht noch aus.

Siehe dazu auch:

    * Version 4.7.1098, avast! 4 Home/Professional Revision History
    * Avast! AntiVirus TAR Processing Remote Heap Corruption, Fehlerbericht von Nevis Labs

Quelle und Links : http://www.heise.de/newsticker/meldung/100135

[SiLæncer]

In der seit Mitte Januar verfügbaren Avast-Version 5.1.889 ist nach Angaben des Herstellers das Verhaltensschutz-Modul teilweise aktiviert – vorher war sie es nicht. Ist auf dem gleichen System bereits eine Verhaltenserkennung aktiv, so kann dies dazu führen, dass Programme nicht starten und abstürzen. Anwender berichten im Avast-Forum insbesondere von Problemen unter Windows 7 mit 64 Bit in der Kombination Avast und ThreatFire.

Avast empfiehlt zur Lösung des Problems, entweder die zusätzlich Verhaltenserkennung (ThreatFire) zu deinstallieren oder über eine sogenannte Änderungsinstallation von Avast das Verhaltensschutzmodul zu entfernen.

Quelle : www.heise.de

[SiLæncer]

Am Wochenende wunderten sich einige Spieler nicht schlecht. Avast Antivirus berichtete nach einem Update, einen Trojaner gefunden zu haben. Der Fehler wurde bereits nach relativ kurzer Zeit behoben. Betroffene müssen Jedoch ihre SteamService.exe aus der Quarantäne befreien.

Ein Sprecher der tschechichen Firmenzentrale meldete sich bereits zu den Vorgängen. "Wir hatten ein False Positive Problem, welches bereits nach anderthalb Stunden gefixt wurde". Das fehlerhafte Erkennungsfile wurde entfernt. Spieler, die von dem Fehler betroffen sind, sollten ihre Steam-Dateien falls möglich aus der Quarantäne wiederherstellen. In einigen Fällen könnte jedoch eine komplette Steam-Neuinstallation notwendig sein.

Falsch positive Erkennungen führten bei verschiedenen Antiviren-Softwarelösungen in der Vergangenheit immer wieder zu Problemen. So wurden zum Teil auch systemrelevante Windowsdateien gelöscht, so dass ein Neustart zum unbrauchbar Werden der OS-Installation führte. In diesen Fällen half des Öfteren nur noch ein gutes Backup oder eine mühevolle Reparatur per Live-CD.

Quelle : www.gulli.com