Abo
  • Services:
Anzeige
Schwachstellen für Antivirensoftware werden regelmäßig gehandelt.
Schwachstellen für Antivirensoftware werden regelmäßig gehandelt. (Bild: Tavis Ormandy / Wikileaks)

Security: Mehr Sicherheitslücken in Kasperskys Antivirensoftware

Schwachstellen für Antivirensoftware werden regelmäßig gehandelt.
Schwachstellen für Antivirensoftware werden regelmäßig gehandelt. (Bild: Tavis Ormandy / Wikileaks)

Virenscanner sollen Nutzer eigentlich vor Bedrohungen schützen. Doch durch schlampige Programmierung hätten viele von ihnen selbst Sicherheitslücken, sagt Google-Forscher Tavis Ormandy. Jetzt hat er weitere Details zu Mängeln bei Kaspersky veröffentlicht.

Anzeige

Virenscanner von Kaspersky enthalten eine ganze Reihe von Sicherheitslücken - das sagt Tavis Ormandy von Googles Projekt Zero. Mit Hilfe von Fuzzing und Googles Cloud-Plattform Scale habe er Produkte von Kaspersky auf Schwachstellen getestet und sei fündig geworden. Bereits Anfang September hatte Ormandy erste Informationen zu Lücken in Kaspersky-Produkten veröffentlicht und weitere Informationen angekündigt.

Ormandy wurde in der Vergangenheit mehrfach für seine angeblich unverantwortliche Veröffentlichungspraxis von Sicherheitslücken kritisiert. In seinem Blogpost betont er jetzt, dass Kaspersky seit längerem informiert sei und die kritischen Bugs bereits geschlossen habe. Er forsche nicht nur über die Sicherheit von Kaspersky-Produkten, sondern untersuche auch Produkte von Sophos und Eset. Zudem kündigte er weitere Enthüllungen an.

Um Bedrohungen zu finden, durchsuchen Virenscanner üblicherweise den Netzwerk- und Datenverkehr. Für einen Virenscanner-Exploit reicht es demnach aus, eine Webseite anzusurfen oder eine E-Mail über das Mailprogramm abzurufen. Weitere Handlungen des Nutzers sind nicht erforderlich.

Fuzzing zeigt Lücken in Thinstall-Containern auf

Die Antivirensoftware von Kaspersky entpackt Thinstall-Container, um sie auf Malware zu durchsuchen. Durch Fuzzing der Thinstall-Anwendungen fand Ormandi einen Stack-Buffer-Overflow. Weil Kaspersky darauf verzichtete, den Overflow-Schutz /GS zu aktivieren, konnte er den Stack Frame überschreiben und manipulieren. In der Visual-Studio-Entwicklungsumgebung wird /GS Standardmäßig aktiviert, um Pufferüberläufe zu verhindern. Der Hersteller empfiehlt, die Option nur bei nicht sicherheitskritischen Anwendungen zu deaktivieren. Wieso Kaspersky die Option nicht nutzte, ist unklar.

Beim Exploit-Vorgang kam dem Google-Forscher zugute, dass das Kaspersky-Team Fehler in der Implementation von /Dynamicbase gemacht hatte. Die Funktion weist auszuführenden Instruktionen mit Adress-Space-Layout-Randomization (ASLR) per Rebase einen zufälligen Speicherbereich zu, um erfolgreiche Exploits zu erschweren.

Kaspersky scannt Zip-Archive auch im Verbund mit anderen Dateien

Der ursprüngliche Plan, eine infizierte DLL-Datei über den Windows-Loader zu laden, schlug fehl. Deshalb nutzte Ormandy aus, dass Kaspersky auch Zip-Archive scannt, die per Cat mit anderen Dateien verknüpft wurden. Er integrierte seinen Exploit in eine Zip-Datei und verknüpfte diese mit einer DLL. Damit gelang es ihm, über einen manipulierten Befehl den Windows-Rechner zu starten.

Ormandy will mit seinen Recherchen auf Fehler in Antivirus-Programmen hinweisen. Exploits für diese Programme würden regelmäßig gehandelt. Antivirenhersteller sollten Sandboxing für ihre Unpacker nutzen und dafür sorgen, dass die Prozesse mit weniger Berechtigungen laufen.

Nachtrag

Kaspersky hat bekanntgegeben, dass alle von Tavis Ormandy angezeigten Sicherheitslücken mittlerweile behoben seien. Insbesondere habe das Unternehmen den Stack-Overflow-Schutz /GS aktiviert, und es arbeite weiter an der Verbesserung der Produktsicherheit.


eye home zur Startseite
tibrob 24. Sep 2015

1. Falsch. 2. Nein.

Anonymer Nutzer 24. Sep 2015

Die Firma AVG, Hersteller von Antiviren-Software, will Nutzerdaten künftig an...

Ultronkalaver 24. Sep 2015

TuneUp gibt es immer noch? Oh oh ... ich hatte gehofft die würden pleite gehen und das...

Ultronkalaver 24. Sep 2015

Viren sind heute nicht mehr das Problem. Das kann jede Software aber hier liegt nicht...



Anzeige

Stellenmarkt
  1. Thalia Bücher GmbH, Hagen (Raum Dortmund)
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Wirecard Technologies GmbH, Aschheim bei München
  4. Katholische Universität Eichstätt-Ingolstadt, Eichstätt


Anzeige
Top-Angebote
  1. (u. a. X-Men Apocalypse, The Huntsman & The Ice Queen, Asterix erobert Rom, The Purge, Shutter...
  2. (-40%) 17,99€
  3. 15€ sparen mit Gutscheincode GTX15 (Bestpreis laut Preisvergleich)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  2. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  3. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  4. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  5. Kein Internet

    Nach Windows-Update weltweit Computer offline

  6. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  7. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  8. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  9. Nachruf

    Astronaut John Glenn im Alter von 95 Jahren gestorben

  10. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Großbatterien: Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
Großbatterien
Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
  1. HPE Hikari Dieser Supercomputer wird von Solarenergie versorgt
  2. Tesla Desperate Housewives erzeugen Strom mit Solarschindeln
  3. Solar Roadways Erste Solarzellen auf der Straße verlegt

Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

  1. Re: Danke Apple

    Seitan-Sushi-Fan | 03:45

  2. Re: mit Linux...

    paris | 03:29

  3. Re: Für mich liegt das nicht am Windows update...

    paris | 03:24

  4. Re: geHyptes Produkt - 99% der Leute können das...

    Shrykull | 03:13

  5. Re: Die Darstellung ist etwas einseitig

    Galde | 02:53


  1. 18:40

  2. 17:30

  3. 17:13

  4. 16:03

  5. 15:54

  6. 15:42

  7. 14:19

  8. 13:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel