Thema: McAfee ...

[SiLæncer]

Bestimmte Archive im LHA-Format können in Antiviren-Produkten von McAfee einen Buffer Overflow hervorrufen. Ein Angreifer kann darüber eigenen Code in ein System einbringen und starten. Der Fehler beruht auf der unzureichenden Überprüfung der Länge eines Headers einer LHA-Datei. Ein präpariertes Archiv kann den Anwender etwa als Anhang einer Mail erreichen oder indem er es selbst per HTTP und FTP auf den Rechner lädt. Die Schwachstelle ist nicht nur in den Consumer-Produkten enthalten, sondern auch in den Corporate-Produkten, wie der Groupshield- und Webshield-Linie.

Nach Angaben von McAfee sind aber nur Installationen betroffen, die noch die VirusScan Scan Engine Version 4320 benutzen. Die seit Dezember verfügbare Version 4400 soll nicht verwundbar sein und bei automatischem Update auch bereits die alte Version auf den Systemen ersetzt haben. Ob der Update-Dienst aktiv ist und wie man die Version seiner Scan Engine ermittelt, erläutert McAfee in einer dafür bereit gestellten Anleitung. Zudem sollen Anwender auch mit der älteren Version geschützt sein, wenn sie die aktuellsten DAT-Files (Signaturfile) ab Version 4436 einsetzen. Der Hersteller empfiehlt auf jeden Fall sowohl die Signaturen als auch die Scan Engine auf den neuesten Stand zu bringen.

Zuletzt zeigten sich auch die Antiviren-Produkte von Trend Micro, F-Secure und Symantec für Buffer Overflows durch manipulierte Archive anfällig.

Quelle und Links : http://www.heise.de/newsticker/meldung/57714

[SiLæncer]

McAfees Intrusion Prevention System IntruShield weist laut einer Mail auf mehreren Sicherheits-Mailinglisten einige Lücken auf, über die ein Angreifer seine Berechtigungen erhöhen und Alarmmeldungen unterbinden kann. Weiterhin sei es möglich, schädliches HTML und JavaScript einzuschleusen, um beispielsweise Accountdaten auszuspähen. McAfee bestätigte heise Security das Vorhandensein der Lücken, hält die Einschätzung des Entdeckers jedoch für übertrieben.

Um Zugriff auf die Managementkonsole zu erlangen, könne laut Verfasser des Security-Advisory ein Angreifer einfach mehrere Nutzer-IDs durchprobieren, bis er Zugriff erhält, da die IDs im Klartext in der Gestalt

https://intrushield:443/intruvert/jsp/menu/disp.jsp?userId=1&logo=intruvert.gif

übertragen werden. Ist der Management-Zugang nicht durch eine Firewall gesichert, sei damit auch Zugriff von außen möglich. Da man allerdings einen gültigen Account im System braucht, und die priviligierten Accounts zusätzlich durch weitere Maßnahmen wie Passwörter gesichert sind, ist dies keine Sicherheitslücke -- die UserID des root-Accounts in einem Unix-System zu "erraten" macht dieses auch nicht unsicher.

Da beim Browsen durch die Reports des Systems umfangreiche Daten über URLs übergeben werden, lässt sich über ein IFrame fremder HTML-Code in die Anzeige einschleusen -- in ähnlicher Form kann man dem ahnungslosen Anwender Javascript unterschieben, welches mit den Rechten des Anwenders ausgeführt wird. Ein Angreifer kann so unter Umständen gültige Accountdaten von anderen Nutzern abfangen. Diese Angriffsform setzt allerdings ebenfalls einen gültigen Zugang zu dem IPS voraus, ergänzt Toralv Dirro von McAfee. Sie sei eine Phishing-Variante, der mit den üblichen Sicherheitsmaßnahmen zu begegnen ist: man sollte sich nicht über Links von Webseiten oder E-Mails heraus an einem sicherheitsrelevanten System anmelden, sondern Bookmarks nutzen oder die Adressen manuell in den Browser eintragen.

Als angemeldeter Benutzer mit nur lesendem Zugriff auf Reports kann man Vollzugriff erlangen, indem man in der aufgerufenen URL die mitgelieferte Variable "fullAccessRight=false" auf "fullAccessRight=true" ändert. Ebenso einfach lassen sich ausgelöste Alarme bestätigen und verwerfen, auch dort muss nur die Variable "fullAccess" auf true gesetzt werden.

Grundsätzlich muss also zum Ausnutzen dieser Lücken ein Angreifer ein erhöhtes Maß an krimineller Energie mitbringen, denn offiziellen Zugang zu einem Intrusion Prevention System erhalten üblicherweise nur Administratoren -- diesen sollte man schon vertrauen können.

McAfee stellt Produktaktualisierungen in Form der Maintenance Release 2.1.9.17 bereit, die betroffene Administratoren einspielen sollten.

Quelle und Links : http://www.heise.de/security/news/meldung/61477

[SiLæncer]

"Wir haben bereits über 100 Proof-of-Concept-Viren für Mobiltelefone gefunden", berichtete Ray Gurvitz von McAfee in Wien, "vor allem für Symbian, weil dieses Betriebssystem den höchsten Marktanteil hat." Bis inklusive 2004 wären es aber erst zehn gewesen. "Der Zuwachs an Viren ist stärker, als wir es jemals bei Computer-Schädlingen hatten." Im Rahmen der von Informa ausgerichteten Konferenz Mobile Application Platforms and Operating Systems berichtete er über die von seinem Unternehmen angebotenen Lösungen zum Kampf gegen digitale Schädlinge auf Endgeräten und in Mobilfunk-Netzen. Tests in Japan würden erfolgreich laufen, erklärte Gurvitz.

Mobiltelefone sind für Virenschreiber – und Virenbekämpfer – besonders attraktiv, da es davon über zwei Milliarden Stück gibt. Vergleichsweise gering nimmt sich da die Zahl der in privaten Haushalten genutzten PCs aus. Laut Gurvitz sind es, inklusive Laptops, 250 Millionen. Zudem sei bei Smartphones, die mehr Schadensroutinen ausführen können und mehr Verbindungstechnologien eingebaut haben als normale Handys, besonders starkes Marktwachstum zu beobachten. Die hohen Roaming-Datentarife könnten bei Auslandsreisenden jedoch die schnelle Verbreitung von Antiviren-Updates erschweren: "Die Netzbetreiber müssen entscheiden, ob sie lieber das Risiko einer Virenverbreitung eingehen oder die Kosten für den Datentransport übernehmen wollen."

Allerdings verbreiten sich viele Schädlinge auch über Bluetooth. Gerade bei großen Menschenansammlungen, etwa auf Bahnhöfen, Flughafen und Veranstaltungen, sind die Chancen der Weiterverbreitung groß. So haben die Würmer der Cabir- und Commwarrior-Familien bereits rund um den Globus ihre Spuren hinterlassen.

Eine Untersuchung habe ergeben, dass 47 Prozent der User bereit wären, für Virenschutz am Handy zu bezahlen. Realistisch seien etwa 30 Dollar pro Jahr für den Schutz eines Endgeräts. Zusätzlich entstünden den Netzbetreibern Kosten für den Schutz ihrer Netze.

Quelle und Links : http://www.heise.de/newsticker/meldung/66008

[SiLæncer]

In den VirusScan-Enterprise- und Common-Management-Agent-Produkten (CMA) von McAfee wurden Sicherheitslücken entdeckt, durch die eingeschränkte Nutzer ihre Rechte auf dem System ausweiten könnten. McAfee stellt Updates für die Produkte bereit, die das Problem beseitigen. Bei einem Update wird auch gleich eine weitere Lücke geschlossen, die im McAfee-Sicherheits-Center das Einschleusen und Ausführen von Code erlaubt.

VirusScan-Enterprise-8.0i(Patch 11) und Common-Management-Agent-3.5(Patch 5) starten den Prozess naPrdMgr.exe, der mit Systemrechten läuft. Dieser ruft die Datei \Program Files\Network Associates\VirusScan\EntVUtil.EXE auf englischsprachigen Systemen auf, ohne den Pfad in Anführungszeichen zu setzen. Dadurch wird das Leerzeichen im Pfad als Trennzeichen für beispielsweise Optionen interpretiert: Das System testet erst das Vorhandensein von \Program.exe, anschließend \Program Files\Network.exe und startet diese, sofern sie existieren. Auf deutschen Systemen wird in der Standardinstallation nur die Datei \Programme\Network.exe gesucht. Gelingt es einem Angreifer, diese Datei anzulegen, kann er sie mit Administratorrechten ausführen lassen.

Dies könnte eine weiterer Fehler im Sicherheits-Center diverser McAfee-Produkte ermöglichen. Es nutzt das ActiveX-Control MCINSCTL.DLL, um ein Object mit dem Namen MCINSTALL.McLog zu erzeugen, das eigentlich dazu gedacht ist, Installationsvorgänge durch das Sicherheits-Center in Dateien zu protokollieren. Da McAfee jedoch den Objekt-Zugriff auf bestimmte Zonen oder Seiten nicht über die IObjectSafetySiteLock()-API beschränkt, könnte eine böswillige Webseite dieses Objekt instanziieren und beispielsweise im Autostart-Ordner beliebige Dateien anlegen, die beim nächsten Neustart des Rechners ausgeführt werden.

Nutzern dieser McAfee-Produkte ist ein Update anzuraten, sofern dies nicht schon automatisch eingespielt wurde.

Siehe dazu auch:

    * Privilege escalation in McAfee VirusScan Enterprise 8.0i (patch 11) and CMA 3.5 (patch 5), Security Advisory von Reed Arvin
    * McAfee Security Center MCINSCTL.DLL ActiveX Control File Overwrite Vulnerability, Security Advisory von iDefense

Quelle und Links : http://www.heise.de/security/news/meldung/67688

[SiLæncer]

Das am 10. März von McAfee ausgelieferte Signatur-Update 4715 führte bei diversen legitimen Dateien zu einem Fehlalarm. Je nach Konfiguration verschiebt der Virenscanner die vermeintlich infizierten Objekte in ein Quarantäne-Verzeichnis oder löscht diese sogar vollständig. In der vollständigen Liste der fälschlich als Virus W95/CTX erkannten Dateien befinden sich unter anderem die Windows-Systemdateien usersid.exe und imjpinst.exe, die Microsoft-Office-Dateien excel.exe und graph.exe sowie diverse Dateien aus Java-Installationen, der Google-Toolbar, dem Macromedia-Flash-Player und dem Adobe-Update-Manager. Über das Ausmaß der Schäden durch die gelöschten Dateien ist bisher nichts bekannt. Der Redaktion liegen jedoch Hinweise vor, dass in einem Fall Oracle- und ERP-Installationen nach einem Scanner-Durchlauf mit der fehlerhaften Signatur vollständig unbrauchbar wurden.

Laut Hersteller sind alle Anwender des On-Demand-Scanners von McAfee VirusScan, die das Signatur-Update 4715 eingespielt haben, potenziell von dem Problem betroffen. Bei ausschließlicher Verwendung des On-Access-Scanners, der Dateien schon vor einem Zugriff überprüft, tritt der Fehler nach Angaben von McAfee jedoch nicht zu Tage. VirusScan Online erkannte W95/CTX in harmlosen Dateien für einen kurzen Zeitraum am 10. März ebenfalls. Das am selben Tag herausgegebene Signatur-Update 4716 behebt den Fehlalarm in allen Produkten. Ein offenbar durch den McAfee-Support angekündigtes Tool zur Behebung der entstandenen Schäden wurde bislang noch nicht bereitgestellt.

Der Hersteller empfiehlt betroffenen Anwendern, gelöschte Systemdateien durch eine Systemwiederherstellung von Windows zurückzuspielen. Dies ist natürlich nur ratsam, wenn der jüngste Wiederherstellungszeitpunkt erst vor Kurzem angefertigt wurde. Sofern die Dateien lediglich in Quarantäne verschoben wurden, können Sie diese an ihren ursprünglichen Ort zurück verschieben. Klicken Sie dazu mit der rechten Maustaste auf das McAfee-Icon im System-Tray am unteren rechten Bildschirmrand und wählen Sie unter "VirusScan" den Menüpunkt "Dateien unter Quarantäne verwalten". Haken Sie dort die Dateien mit dem Status "Infiziert von Virus W95/CTX" ab und bestätigen Sie mit "Wiederherst."

Quelle und Links : http://www.heise.de/security/news/meldung/70771

[SiLæncer]

In dem nun veröffentlichten ersten Teil einer dreiteiligen Studie kommt der Antivirushersteller McAfee zu dem Ergebnis, dass sich die Nutzung von Rootkit-Technologien in Schadsoftware und "potenziell ungewollten Programmen" in den vergangenen drei Jahren mehr als versiebenfacht habe. Die Komplexität der eingesetzten Techniken habe sich im Zeitraum 2000 bis 2005 verfünffacht und, vergleiche man das ersten Quartal 2005 mit dem ersten Quartal 2006, sogar mehr als verzehnfacht.

Die Studie hebt hervor, dass zunehmend auch kommerzielle Software von derartigen Techniken etwa für Kopierschutz Gebrauch mache; im Vergleich zum Wachstum bei Windows-Rootkits erschienen die Steigerungen bei Linux-Rootkits zudem fast vernachlässigbar. Die Studie will dabei die Hauptschuld für den deutlichen Anstieg im freien Informationsfluss in Online-Plattformen wie rootkit.com und der freien Verfügbarkeit von Open-Source-Rootkits im Quellcode und in Binärform ausgemacht haben.

Allerdings bleiben die beschriebenen Größen "Nutzung von Rootkit-Techniken" und "Komplexität" unzureichend klar definiert. Hinter der ersteren Zahl steckt laut Studientext offenbar die "Anzahl der in Software gefundenen Rootkit-Techniken". Inwieweit berücksichtigt wurde, dass eine einzelne Software auch mehrere Techniken kombinieren kann, lässt die Studie offen. Darüber hinaus wurde zur Ermittlung der Komplexität lediglich die Anzahl der Dateien betrachtet, aus denen eine Rootkit-Komponente besteht. Ein Anstieg dieser Zahl würde in erster Linie nur auf eine gestiegene Modularisierung hindeuten, was grundsätzlich bei jeder Form von Software zu beobachten ist.

Andere Firmen sehen die eigentlichen Ursachen für die rasant wachsenden Zahlen bei Schadsoftware nicht in der freien Zugänglichkeit von Informationen, sondern in der zunehmenden Professionalisierung des immer ertragreicheren Marktes für Schadsoftware. Die beiden Folgeteile der Studie von McAfee sollen sich unter anderem mit zukünftigen Entwicklungen der Rootkit-Techniken selbst sowie mit geeigneten praktischen Gegenmaßnahmen beschäftigen.

Möglicherweise stecken hinter der Studie auch die aktuellen Existenzängste vieler Antiviren-Hersteller angesichts der Tatsache, dass Microsoft mit Windows OneCare Live selbst in den den Markt für Schutzsoftware einsteigen will. Der Softwaregigant möchte sich dabei den Vorteil zunutze machen, das eigene Produkt nahtlos in das Windows-Sicherheitskonzept integrieren zu können. Erst kürzlich feuerte McAfee eine unmissverständliche Salve in Richtung Redmond, man hinke dort mit hauseigenen Lösungen den aktuellen Sicherheitsproblemen hinterher.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Besondere Gefahren erfordern besondere Schutzmaßnahmen. So denkt man offensichtlich bei McAfee: Das Sicherheits-Unternehmen hat nämlich eine spezielle Version seines bekannten Stand-Alone-Scanners Stinger vorgestellt, die nur einen einzigen Virusstamm jagt: Den polymorphen W32/Polip.

Von McAfee Avert Stinger steht seit kurzem mit 3.0.2 eine spezielle Version zum Download bereit, mit der sich nur ein einziger Schädling aufspüren lässt: W32/Polip beziehungsweise W32/Polip!mem.

Bei W32/Polip handelt es sich um einen polymorphen Virus, der zugleich auch ein P2P-Wurm ist, mehr erfahren Sie hier .

Sie starten Stinger 3.0.2 wie gehabt durch einen Doppelklick auf die EXE-Datei, eine Installation ist nicht erforderlich.

Zum Download von Stinger 3.0.2 geht es über diesen Link . Der Download ist knapp über 1 MB groß.

http://vil.nai.com/vil/stinger/polipstinger.asp

Quelle : www.pcwelt.de

[SiLæncer]

Das Erreichen der 200.000er Marke ist in den meisten Fällen ein Grund zum Feiern. Das Hinzufügen der zweihunderttausendsten Virensignatur in die Datenbank hat bei McAfee aber wohl nur wenig Emotionen erregt. Mit dem Update DAT-4800 enthält die Signaturdatei sogar bereits Muster, um 200.104 Schädlinge zu erkennen. Aufgrund der explosionsartigen Malware-Entwicklung rechnen die Experten von McAfees Avert-Labs im Jahre 2008 sogar mit rund 400.000 Signaturen. Schon jetzt gibt es mehr Virensignaturen als Dateien auf einem typischen PC.

So langsam scheinen dabei etwas schwachbrüstige PCs Probleme mit den Virenprüfung zu bekommen. Zweihunderttausend Muster wollen immerhin mit jeder Datei abgeglichen werden. Jimmy Kuo, Virenforscher der Avert Labs, vermutet, dass Unternehmen auf älteren Systemen unter Umständen einfach das Viren-Update abschalten könnten. Selbst wenn sich neue Techniken wie Verhaltens-basierte Antivirentechniken durchsetzen, seien aber weiterhin Signaturen notwendig. Insbesondere auf einem bereits infizierten System benötige man die alte Technik, um ein System wieder zu bereinigen.

Um sich den kommenden Gefahren zu stellen, sei in den Scannern eine gute "Family-Detection" notwendig. Viele der kursierenden Schädlinge seien, so die Avert-Labs in ihrem Blog, nur wenig veränderte Varianten eines Hauptstammes -- auch die Programmierer von Viren und Würmer setzen eben auf Wiederverwendbarkeit. Kopfzerbrechen bereiten den McAfee-Spezialisten auch Handy-Viren. Die seien zwar bislang noch kein großes Problem. In dem Moment wo Telefone aber verstärkt für Geldüberweisungen benutzt würden, wäre auch dort mit einem explosionsartigen Anstieg von Schädlingen zu rechnen.

Siehe dazu auch:

    * 200,000!, Avert-Labs-Blogeintrag von Jimmy Kuo

Quelle und Links : http://www.heise.de/newsticker/meldung/75127

[SiLæncer]

In einem Security Bulletin hat Mcafee auf eine Sicherheitslücke in seinen Endkundenprodukten hingewiesen und die Verfügbarkeit eines Updates bekannt gegeben.

Eine Sicherheitslücke im McAfee Security Center kann das Einschleusen und Ausführen von schädlichem Code ermöglichen. Daher hat der Antivirus-Hersteller die aktualisierte Version 7.0 des Security Centers bereit gestellt, in der das Problem behoben sein soll.
 

Das Security Center ist Bestandteil von Endkundenprodukten wie Internet Security Suite, Virusscan oder Personal Firewall Plus. Es nutzt den Internet Explorer und ActiveX-Komponenten, um den Benutzer über den Sicherheitszustand des Rechners zu informieren. Eines dieser ActiveX-Elemente enthält anscheinend eine ausnutzbare Schwachstelle.

Um darüber schädlichen Code einschleusen und ausführen zu können, müsste ein Angreifer zum Beispiel eine Web-Seite präparieren und eine Mail mit einem Link zu dieser Seite versenden. Der Empfänger der Mail müsste diesen Link dann anklicken, um die Seite aufzurufen. Da also die Mithilfe des Anwenders erforderlich ist, stuft McAfee das Risiko nur als "mittel" ein.

Das McAfee Security Bulletin nennt als anfällige Software die Versionen 4.3 bis 6.0.22 des Security Centers. Ein Update auf die Version 7.0 soll das Problem beheben und bei den meisten Anwendern automatisch installiert werden. Unternehmensprodukte wie Virusscan Enterprise sind demnach nicht betroffen.

Quelle : www.pcwelt.de

[SiLæncer]

Die US-amerikanischen Security-Spezialisten von McAfee warnen vor einem neuen Trend, den sie "SMiShing" (Phishing via SMS) nennen. Demnach erhalten immer mehr Handynutzer SMS-Nachrichten in der Art: "Wir bestätigen, dass Sie sich für unseren Dienst angemeldet haben. Sie bezahlen 2 US-Dollar pro Tag, bis Sie sich unter www.beispiel.com abmelden." Laut McAfee stecken hinter derlei Nachrichten bisher Betreiber von Bot-Netzen. Besuche der Nutzer die angegebene URL, werde er aufgefordert, einen Download zu starten und bekäme sodann einen Trojaner-Bot untergejubelt.

McAfee sieht insbesondere Unternehmen durch diese neue Form des Phishing gefährdet: "Viele große Unternehmen haben tausende Mitarbeiter, die eine Vielzahl von Geräten nutzen, um ins Intranet zu gelangen." Bei Mobiltelefonen herrsche längst nicht die gleiche Vorsicht wie beim Zugang via Laptop: "Mobile Endgeräte bedeuten eine ernsthafte Herausforderung für die Datensicherheit, sie haben das Potenzial, sowohl Carrier- als auch Unternehmensnetzwerke zu infizieren."

Quelle : www.heise.de

[SiLæncer]

Durch einfaches Umbiegen von Umgebungsvariablen in McAfees VirusScan for Linux ist es möglich, dass ein nicht privilegierter Anwender eigene Programme mit den Rechten des Scanners starten kann – in der Regel Systemrechte. Laut Fehlerbericht liegt das Problem an der Auswertung der Variablen DT_RPATH, die den Pfad zu Programmkomponenen vorgibt. Durch Manipulation kann es auf das aktuelle Arbeitsverzeichnis eines Anwenders zeigen, sodass der Loader dort nach Komponenten sucht. Der Fehler findet sich in Version 4510e des Scanners. Ein Patch gibt es derzeit nicht.

Siehe dazu auch:

    * McAfee VirusScan For Linux Insecure DT_RPATH Remote Code Execution Vulnerability, Fehlerbericht auf Securityfocus

Quelle und Links : http://www.heise.de/security/news/meldung/82624

[SiLæncer]

Nur wenige deutsche Anwender dürften von der vom Sicherheitsdienstleister iDefense gemeldeten Lücke in McAfees Virenscanner für Windows betroffen sein, da sie sich nur ausnutzen lässt, wenn auf dem System ost-asiatische Sprachdateien installiert sind. Sofern dies allerdings der Fall ist, genügt es, dass der On-Access-Scanner eine Datei mit einem präparierten Dateinamen einliest, um bösartigen Code in den Rechner zu schleusen und mit Systemrechten auszuführen. Laut iDefense genügt es dafür bereits, mit der Maus über solch eine Datei zu fahren und sich die Eigenschaften anzeigen zu lassen. Betroffen ist McAfee VirsuScan 8.0i Enterprise bis einschließlich Patch 11. Ab Patch 12, der nach Angaben von McAfee bereits seit Mitte 2006 bereitsteht, ist der Fehler beseitigt. Warum die Lücke erst jetzt bekannt wird, erklären weder iDefense noch McAfee in ihren Fehlerberichten. McAfee empfiehlt nun, Patch 15 zu installieren.

Siehe dazu auch:

    * VirusScan Enterprise 8.0i Patch 12 or later fixes vulnerability of disabling On-Access scanning and possible arbitrary code execution, Fehlerbericht von McAfee
    * McAfee VirusScan On-Access Scanner Long Unicode File Name Buffer Overflow, Fehlerbericht von iDefense

Quelle und Links : http://www.heise.de/security/news/meldung/88422

[SiLæncer]

Der Sicherheitsdienstleister iDefense hat eine Schwachstelle in einem ActiveX-Modul der Antivirenprodukte von McAfee für Endanwender gemeldet, das zum Suchen nach Updates dient. Angreifer können die Lücke mit präparierten Webseiten zum Ausführen beliebigen Programmcodes ausnutzen. Updates von McAfee dichten das Sicherheitsleck ab.

Der Fehler findet sich in der zum Sicherheits-Center gehörenden Datei MCSUBMGR.DLL, dem McAfee Subscription Manager Module. Der Hersteller markiert es während der Installation als "Safe for scripting", wodurch es Webseiten im Internet Explorer einbinden können. Beim Aufruf der Methode IsOldAppInstalled() können Angreifer einen Pufferüberlauf provozieren.

Die Schwachstelle betreffen das Subscription-Manager-Module vor den aktuellen Versionen 6.0.0.25 und 7.2.147. Wer die automatischen Updates nicht aktiviert hat, sollte von Hand ein Update anstoßen, um die fehlerbereinigte Komponente einzuspielen.

Siehe dazu auch:

    * McAfee Security Center IsOldAppInstalled ActiveX Buffer Overflow Vulnerability, Sicherheitsmeldung von iDefense
-> http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=528

Quelle : www.heise.de

[SiLæncer]

Vor einem Jahr hat AOL den auf Kasperskys Antivirenlösung basierenden Virenscanner Active Virus Shield bereitgestellt. Das Unternehmen hat nun die Verteilung der Software eingestellt. Die Webseite zu Active Virus Shield zeigt jetzt nur noch einen entsprechenden Hinweis an: "We're Sorry! AOL® Active Virus Shield is no longer available."

AOL stellt allerdings nicht seine Sicherheitsinitiative ein, sondern hat lediglich den Antivirenhersteller gewechselt. Das Unternehmen bietet jetzt als kostenlose Antivirenlösung eine angepasste, englischsprachige Version von McAfees VirusScan Plus auf seiner Sicherheitsseite an. Interessierte Benutzer können das Programm mit einem gültigen Anmeldenamen bei AOL herunterladen, für Anwender ohne AOL-Konto ist eine Registrierung kostenlos möglich.

Im vergangenen c't-Test fiel beim McAfee-Virenscanner die lange Reaktionszeit mit neuen Signaturen negativ auf – Kaspersky und damit auch Active Virus Shield waren hier am schnellsten (siehe auch c't-Special Security, S. 26). Die Erkennungsleistung ist im Mittelfeld anzusiedeln. Die AOL-Version unterstützt die Betriebssysteme Windows 2000, XP und Vista.

Wer eine kostenlose Antivirenlösung sucht, dürfte mit der Reaktionsgeschwindigkeit und Erkennungsleistung der für Privatanwender kostenlosen Antivir-Version in Kombination mit einer ebenfalls freien Anti-Sypware-Lösung wie Spybot Search & Destroy oder Lavasofts Ad-Aware besser bedient sein.

Quelle und Links : http://www.heise.de/newsticker/meldung/93726

[SiLæncer]

Ein Fehler im Ende Mai veröffentlichten Patch 1 für McAfee VirusScan Enterprise v8.7i verursachte mehreren Anwenderberichten zufolge erhebliche Probleme. So entdeckte der Scanner auf den aktualisierten PCs fälschlicherweise einen Wurm (W32/Generic.worm.aa) in mehreren System-Dateien von Windows XP und Vista und löschte respektive verschob die Dateien. In der Folge blieben die PCs bei einem Neustart hängen oder booteten endlos.

Daraufhin entfernte McAfee zunächst den Patch aus seinem Service-Portal und den Download-Seiten, um weitere Schäden zu verhindern. Anwendern, die den Patch 1 bereits in ihrer Umgebung bereits installiert aber noch keine Problem festgestellt haben, empfiehlt der Hersteller dennoch, den Patch nicht zu deinstallieren. Die seit dem 7. Juni verteilten DAT-Dateien sollen den Fehlalarm und damit die Probleme verhindern.

Kunden, die aber bereits Probleme haben, sollen sich an den McAfee-Support wenden. Laut McAfee soll der Fehler nur bei wenigen Unternehmenskunden aufgetreten sein. Im McAfee-Forum äußern sich jedoch zahlreiche betroffene Administratoren zu dem Thema.

In der jüngeren Vergangenheit haben die Fehlalarme von Virenscanner stark zugenommen. Zuletzt legten im Februar Bitdefender und G DATA viele Windows-Systeme lahm, indem sie fälschlicherweise die Winlogon.exe als Trojaner identifizierten und löschten. Bitdefender und G Data sind aber nicht die einzigen, die mit derartigen False Positives zu kämpfen haben.

Quelle : www.heise.de