Nach NOD32: Auch Sicherheitslücke in Kasperskys Entpacker

[Mornsgrans]

Project-Zero-Forscher Tavis Ormandy von Google bemängelt die schlechte Qualität von Virenscannern. Im aktuellen Fall hat er mehrere kritische Lücken in Kasperskys Software ausgemacht.

Tavis Ormandy von Googles Project Zero macht den Antiviren-Herstellern wieder mal Arbeit. Nachdem er vor einiger Zeit Lücken in NOD32 aufdeckte, ist jetzt Kaspersky dran. Ähnlich wie bei NOD32 handelt es sich bei der Achillesferse von Kaspersky um die verschiedenen Entpacker in der Software. Um bestimmte Dateitypen zu untersuchen, müssen Virenscanner diese häufig entpacken. Das geschieht meist in einer Sandbox, die verhindern soll, dass Schadcode ausbricht und zum Beispiel den Virenscanner direkt infiziert. Aber genau das ist laut Ormandy viel zu oft möglich.
...

Quelle: Heise

Sehr bedenklich, dass es sehr einfach ist, Kaspersky zu "Gehilfen" der Schadsoftware zu machen:

Ormandy fand zusätzlich heraus, dass er durch einfaches Anhängen einer DLL an ein ZIP-Archiv den Kaspersky-Scanner dazu bringen konnte, seinen Schadcode auszuführen.

Hoffen wir mal, dass die Hersteller der Antivirensoftware schnell eine Lösung findet, bevor dise Lücke großflächig genutzt wird.

Hier noch der Link zu Heises Artikel über die Lücke in NOD32, die vom gleichen Projekt entdeckt wurde

 

[Helios]

Wurde bereits hier gepostet .

LG Uwe

 

[Mornsgrans]

Lassen wir mal so stehen, da es im anderen Thread leicht untergehen dürfte.

 

[Helios]

KAV/KIS/KTS in der Version 2016 MR0 (16.0.0.614a) ist ziemlich komplex aufgebaut und Fehler kommen, wie eben bei jeder anderen AV-Lösung, erst nach und nach zum Vorschein... auch stark abhängig vom eingesetzten OS. Patch b wird einen Grossteil der bekannten Probleme lösen (selbst getestet).

Bin auch noch nicht voll zufrieden mit KIS 16.0.0.614a unter Windows 10 und hoffe, dass Patch b in Kürze veröffentlicht wird.


Der Start von Kaspersky 2016 MR1 ist vor kurzem gefallen. Wird jedoch noch dauern, bis die MR1 erhältlich sein wird. Es wird dann auch eine kostenlose Variante von KAV 2016 erhältlich sein - KFA 2016 (Kaspersky Free Antivirus 2016).

 

[sl500]

:thumbsup:

 

[der_ingo]

Die Komplexität solcher Produkte wird halt mehr und mehr zum Problem. Statt mehr Sicherheit zu bringen, bringen sie vor allem erst einmal massiv neue Angriffsflächen. Und da dort genauso schlampige Menschen sitzen, wie an vielen anderen Stellen auch, werden auch immer real nutzbare Lücken auftauchen.

Leider reagiert die Mehrzahl der Leute nicht damit, die Angriffsflächen zu minimieren. Irgendwelche Labortestszenarien mit tollen Testwerten werden weiterhin als die unbedingte Wahrheit wahrgenommen, nach der man sich zu richten hat. Na immerhin wird dann auch in Zukunft den Sicherheitsforschern nicht langweilig. ;-)

 

[Helios]

Ja, ist wahr.

Aber eigentlich hat ja jeder AV-Anbieter zumindest auch ein entsprechendes Forum, in welchem sich die in Realität getesteten Szenarien berichten lassen und so hat der AV-Anbieter einen schnellen Weg der Feedbacks seiner Kunden.

Ob er dann darauf reagiert, ist 'ne andere Frage.