• IT-Karriere:
  • Services:

Kompression: Antiviren-Programme stolpern über ZIP-Bombe

Eine besondere ZIP-Datei kann bei vielen Antiviren-Programmen zu extrem hoher CPU-Last führen und sie praktisch außer Gefecht setzen. Mit Tricks gelang es einem Sicherheitsforscher, extrem hohe Datenkompressionsraten zu erreichen.

Artikel veröffentlicht am ,
Antiviren-Programme haben oft den Ruf, Schlangenöl zu sein. Zu Recht?
Antiviren-Programme haben oft den Ruf, Schlangenöl zu sein. Zu Recht? (Bild: Jeremy Weate, Wikimedia Commons/CC-BY 2.0)

Eine neuartige Form von ZIP-Bomben kann diverse Antiviren-Programme außer Gefecht setzen. Die Reaktionen der Hersteller sind dabei teilweise sehr unprofessionell. Einige verhindern das Scannen der bereitgestellten Beispieldatei, aber lassen sich bereits durch leichte Variationen austricksen. Zudem verrieten mehrere Hersteller über HTTP-Referrer ihre internen Bugtracker.

Inhalt:
  1. Kompression: Antiviren-Programme stolpern über ZIP-Bombe
  2. Antiviren-Programme erkennen Beispieldatei, aber keine Varianten davon

Der Hintergrund: Vor etwa einem Monat hatte der Softwareentwickler David Fifield eine Methode vorgestellt, mit der man extrem hohe Kompressionsraten in ZIP-Dateien erreichen kann. Der Trick dabei: Dieselben Datensegmente werden aus mehreren Dateien referenziert. Damit gelang es Fifield beispielsweise, eine 10-Megabyte-Datei zu erstellen, die entpackt 281 Terabyte an Daten enthielt. Diese Methoden hat Fifield auf der Konferenz USENIX Woot präsentiert.

ZIP-Bombe führt bei zahlreichen Antivirenprogrammen zu Überlastung

Solche ZIP-Bomben oder Kompressionsbomben können Software, die gepackte Dateien automatisch entpackt, außer Gefecht setzen, etwa weil es extrem lange dauert, die Daten zu extrahieren, oder weil der Speicher vollläuft.

Auf der Plattform Virustotal kann man Dateien hochladen, die dann mit vielen verschiedenen Antiviren-Programmen gescannt werden. Kurz nach Veröffentlichung der neuen ZIP-Bombe führte ein Scan der Datei bei 15 der getesteten Virenscanner zu einem Time-out, darunter Mcafee, Sophos und F-Secure.

HTTP-Referrer verraten interne Bugreports

Stellenmarkt
  1. BSI Systeme GmbH, Mönchengladbach
  2. medneo GmbH, Berlin

David Fifield, der Entwickler der ZIP-Bombe, stellte zudem fest, dass zahlreiche Hersteller von Sicherheitstools in ihren internen Bugtrackern offenbar Problemberichte erstellt hatten. Diese verrieten sich dadurch, dass aus den Bugreports heraus Fifields Webseite verlinkt wurde und diese dort dank ihrer HTTP-Referrer in den Logdateien landeten. Unter den Referrern befinden sich interne Bugreports von bekannten Herstellern von Sicherheitsprodukten, darunter Avira, Eset, Fortinet, Mcafee, Palo Alto Networks und Trend Micro. Auch ein interner Bugtracker der EU-Kommission wird dort aufgelistet.

Das Verschicken von HTTP-Referrern kann man durch den HTTP-Header Referrer-Policy verhindern. Insbesondere für interne Zwecke gedachte Bugtracker sollten auf jeden Fall diesen Header entweder auf den Wert "no-referrer" (überhaupt keine Referrer senden) oder "same-origin" (Referrer nur bei internen Links) setzen.

Einige Antivirenprogramme versuchen inzwischen vor solchen ZIP-Bomben zu warnen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Antiviren-Programme erkennen Beispieldatei, aber keine Varianten davon 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 1439,90€ (Vergleichspreis: 1530,95€)

heikom36 08. Aug 2019

Wenn man nicht über den Titel hinaus kommt, mag man das vielleicht annehmen. Die Technik...

heikom36 08. Aug 2019

Les mal den Artikel - gerade die tollen kostenpflichtigen erkennen es nicht. Und der...

heikom36 08. Aug 2019

Sollte man so eine Software überhaupt als Admin laufen lassen? ;-)

heikom36 08. Aug 2019

Wenn man es genau nimmt: Sicherer als die EC Karte, die sicherheitstechnisch seit...

heikom36 08. Aug 2019

Die Technik dahinter ist keineswegs 1995, die ist neu.


Folgen Sie uns
       


Minikonsolen im Vergleich - Golem retro

Retro-Faktor, Steuerung, Emulationsqualität: Wir haben sieben Minikonsolen miteinander verglichen.

Minikonsolen im Vergleich - Golem retro Video aufrufen
Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

Schräges von der CES 2020: Die Connected-Kartoffel
Schräges von der CES 2020
Die Connected-Kartoffel

CES 2020 Wer geglaubt hat, er hätte schon alles gesehen, musste sich auch dieses Jahr auf der CES eines Besseren belehren lassen. Wir haben uns die Zukunft der Kartoffel angesehen: Sie ist smart.
Ein Bericht von Martin Wolf

  1. Smart Lock Netatmo und Yale zeigen smarte Türschlösser
  2. Eracing Simulator im Hands on Razers Renn-Simulator bringt uns zum Schwitzen
  3. Zu lange Ladezeiten Ford setzt auf Hybridantrieb bei autonomen Taxis

Programmieren lernen: Informatik-Apps für Kinder sind oft zu komplex
Programmieren lernen
Informatik-Apps für Kinder sind oft zu komplex

Der Informatikunterricht an deutschen Schulen ist in vielen Bereichen mangelhaft. Apps versprechen, Kinder beim Spielen einfach an das Thema heranzuführen. Das können sie aber bislang kaum einhalten.
Von Tarek Barkouni

  1. Kano-PC Kano und Microsoft bringen Lern-Tablet mit Windows 10

    •  /