Thema: Norman Antivirus ...

[SiLæncer]

Nachdem Norman ein Update für den Virenscanner Norman Virus Control herausgegeben hat, berichten zahlreiche Administratoren von abstürzenden Windows-Servern. Norman hat bestätigt, dass das Update auf Version 5.90 in unregelmäßigen Intervallen Windows-Dateiserver zum Stehen bringen kann.

Der Hersteller arbeitet mit Hochdruck an einer Lösung und hat bereits einen vorläufigen Patch entwickelt, der in einigen Fällen geholfen haben soll. Alternativ schlägt Norman vor, in den Einstellungen des Wächters die Option "Scan on Write" zu deaktivieren. Ein endgültiger Patch sollte dem Fehlerbericht zufolge bald verfügbar sein.

Siehe dazu auch:

    * After upgrading to NVC 5.90 one or more of my file servers freezes/hangs with irregular interval, Sicherheitsmeldung von Norman -> http://www.norman.com/Support/46680/de

Quelle : www.heise.de

[SiLæncer]

Durch mehrere Schwachstellen in der Antivirenlösung des Herstellers Norman können Angreifer infizierte Dateien am Scanner vorbeischmuggeln oder eigenen Code auf einem Zielsystem starten. Nach Angaben des Sicherheitsdienstleisters n.runs erkennt der Parser von Norman Schädlinge in DOC-Dateien nicht in allen Fällen oder stürzt aufgrund einer Divison durch Null beim Einlesen von DOC-Dateien ab. Zudem können beim Verarbeiten von LZH-Archiven drei Buffer Overflows auftreten, worüber sich Code einschleusen und starten lässt. Dabei ist es unerheblich, ob der Empfänger LZH-Archiv verarbeiten kann, es genügt, dass der Scanner etwa den infizierten Anhang einer Mail einliest. Ein ähnliches Problem tritt mit ACE-Archiven auf, dort hat n.runs allerdings nur einen Buffer Overflow gefunden.

Betroffen sind laut Fehlerbericht die Scanner-Engine 5.90 und vorherige Versionen. Zumindest die Fehler beim Parsen von DOC-Dateien sind seit dem Erscheinen der Version 5.91.02 Mitte Juni behoben. Die vier kritischen Buffer Overflows sollen aber auch in der neuen Fassung noch zu finden sein. Einen Workaround schlägt n.runs nicht vor.

Dass der Sicherheitsdienstleister trotz fehlender Lösung des Problems trotzdem die Informationen veröffentlicht, mag an der Reaktion von Norman liegen. So stand die gesamte Kommunikation zwischen n.runs und Norman wohl unter keinem guten Stern. Zuerst scheiterte die verschlüsselte Kommunikation, weil Norman nach Angaben von n.runs eine inkompatible PGP-Version benutzte. Stattdessen wurden die vertraulichen Informationen per Passwort-geschütztem RAR-Archiv gemailt.

In den weiteren Mails sah n.runs dann seine Security Vulnerability Reporting Policy (RFP) verletzt, weil Norman keine eigenen Advisories zu den Lücken veröffentlichen wollte – und es demzufolge auch keine Credits für n.runs geben sollte. Allerdings hatte Norman nach Meinung von n.runs die RFP, die den Ablauf von der Benachrichtigung des Herstellers, über das Testen von Patches bis hin zur gemeinsamen Veröffentlichung der Lücke regeln soll, durch die Annahme von Proof-of-Concept-Exploits explizit akzeptiert. Laut n.runs reagierte Norman nicht mehr, worauf dann die Fehlerberichte ohne weitere Absprache veröffentlicht wurden.

Siehe dazu auch:

    * Norman Antivirus DOC parsing Divide by Zero Advisory, Fehlerbericht von n.runs
    * Norman Antivirus ACE parsing Arbitrary Code Execution Advisory, Fehlerbericht von n.runs
    * Norman Antivirus LZH parsing Arbitrary Code Execution Advisory, Fehlerbericht von n.runs
    * Norman Antivirus DOC parsing Detection Bypass Advisory, Fehlerbericht von n.runs

Quelle und Links : http://www.heise.de/security/news/meldung/93159

[SiLæncer]

Norman Data Defense warnt seine Kunden vor einer Fehl-Erkennung seines Windows-Scanners, die dazu führt, dass die Datei Kernel32.dll als Schädling eingestuft wird. Ursache ist offenbar eine fehlerhafte Signatur. Norman hat die Verteilung der Signatur bereits gestoppt und seine Update-Server vom Netz genommen.

Betroffenen Anwendern empfiehlt der Hersteller, den PC nicht neu zu starten und die Meldungen des Echtzeitscanners nicht zu bestätigen. Vielmehr solle man die Meldung unberührt lassen und normal am PC weiterarbeiten. Norman arbeitet derzeit an einer korrigierten Signatur und will den Update-Server nach Fertigstellung wieder ans Netz bringen. Anwender sollten das Update dann manuell anstoßen. Als erste Abhilfe bis dahin können Anwender alternativ in der Ausschlussliste des Scanners einen Eintrag für Kernel32.dll erstellen.

Der Fehlalarm kommt zeitlich äußerst unpassend, führt Norman doch gerade seine neue Security Suite in Version 7.3 in den Markt ein. Darin will Norman die Scanengine optimiert und ein Antispam-Modul eingefügt haben. Zudem soll die Benutzeroberfläche vereinfacht worden sein, und die Produkte unterstützen Windows 7. Darüber hinaus verspricht das "Web Content Protection"-Modul den Zugriffsschutz für Kinder und Jugendliche auf Seiten mit ungeeigneten Inhalten.

Der Preis für die Suite beträgt mit allen Modulen 59 Euro. Antivirus/Antispyware soll 49 Euro kosten und die einzelnen Module Antispam und Web Content Protection schlagen jeweils mit 25 Euro zu Buche. Der Preis gilt jeweils für drei Rechner im privaten Haushalt und Updates für zwölf Monate.

Quelle : www.heise.de