News 20.10.2004, 12:30 Uhr

Virenscanner versagen bei manipulierten ZIP-Dateien

Erst letzte Woche wurde bekannt, dass viele Virenscanner mittels Alternate Data Streams überlistet werden können. Anscheinend ist dies auch mit präparierten ZIP-Dateien möglich.
Wie Heise Security letzte Woche herausfand, schützen viele bekannte Antiviren-Programme nicht richtig vor Schädlingen in Alternate Data Streams (ADS). Der PCtipp berichtete [1]. Jetzt macht ein weiteres Problem die Runde, welches das Vertrauen in die "mächtigen" Schutzprogramme weiter bröckeln lässt. Laut dem Sicherheitsunternehmen iDefense werden Informationen über ZIP-Dateien in speziellen "Headern" gespeichert. Das Problem: Diese "Header"-Infos können manipuliert werden. So sei es Angreifern möglich, die Scanner verschiedener Antiviren-Programme zu umgehen, indem sie die Dateigrösse im "Header" einfach auf Null setzten. Betroffen seien die Scanner von McAfee, Computer Associates, Kaspersky, Sophos, Eset und RAV. Bei den neusten Tools von Symantec, Trend Micro und Panda soll der Trick hingegen nicht funktionieren.
McAfee, Computer Associates, Kaspersky, Sophos und Eset haben auf die Sicherheitswarnung von iDefense bereits mittels Updates reagiert oder planen dies zumindest. Die Patches werden bei Antiviren-Programme jeweils über die integrierte Update-Funktion installiert. Weitere Infos dazu gibt es im Sicherheitsbulletin [2] von iDefense und auf den Webseiten der Hersteller.
Die ganze Problematik zeigt wieder einmal, dass der Mensch der wichtigste Sicherheitsfaktor bleibt. Antiviren-Tools sind zwar eine gute und unabdingbare Hilfe, schlussendlich hat es aber der Benutzer in der Hand, welche Dateien er auf seinem System ausführt. Hier empfiehlt sich weiterhin die Devise: Dateien aus unbekannten oder fragwürdigen Quellen nicht öffnen, sondern am besten gleich löschen.



Kommentare
Es sind keine Kommentare vorhanden.