Abo
  • IT-Karriere:

Kompression: Antiviren-Programme stolpern über ZIP-Bombe

Eine besondere ZIP-Datei kann bei vielen Antiviren-Programmen zu extrem hoher CPU-Last führen und sie praktisch außer Gefecht setzen. Mit Tricks gelang es einem Sicherheitsforscher, extrem hohe Datenkompressionsraten zu erreichen.

Artikel veröffentlicht am ,
Antiviren-Programme haben oft den Ruf, Schlangenöl zu sein. Zu Recht?
Antiviren-Programme haben oft den Ruf, Schlangenöl zu sein. Zu Recht? (Bild: Jeremy Weate, Wikimedia Commons/CC-BY 2.0)

Eine neuartige Form von ZIP-Bomben kann diverse Antiviren-Programme außer Gefecht setzen. Die Reaktionen der Hersteller sind dabei teilweise sehr unprofessionell. Einige verhindern das Scannen der bereitgestellten Beispieldatei, aber lassen sich bereits durch leichte Variationen austricksen. Zudem verrieten mehrere Hersteller über HTTP-Referrer ihre internen Bugtracker.

Inhalt:
  1. Kompression: Antiviren-Programme stolpern über ZIP-Bombe
  2. Antiviren-Programme erkennen Beispieldatei, aber keine Varianten davon

Der Hintergrund: Vor etwa einem Monat hatte der Softwareentwickler David Fifield eine Methode vorgestellt, mit der man extrem hohe Kompressionsraten in ZIP-Dateien erreichen kann. Der Trick dabei: Dieselben Datensegmente werden aus mehreren Dateien referenziert. Damit gelang es Fifield beispielsweise, eine 10-Megabyte-Datei zu erstellen, die entpackt 281 Terabyte an Daten enthielt. Diese Methoden hat Fifield auf der Konferenz USENIX Woot präsentiert.

ZIP-Bombe führt bei zahlreichen Antivirenprogrammen zu Überlastung

Solche ZIP-Bomben oder Kompressionsbomben können Software, die gepackte Dateien automatisch entpackt, außer Gefecht setzen, etwa weil es extrem lange dauert, die Daten zu extrahieren, oder weil der Speicher vollläuft.

Auf der Plattform Virustotal kann man Dateien hochladen, die dann mit vielen verschiedenen Antiviren-Programmen gescannt werden. Kurz nach Veröffentlichung der neuen ZIP-Bombe führte ein Scan der Datei bei 15 der getesteten Virenscanner zu einem Time-out, darunter Mcafee, Sophos und F-Secure.

HTTP-Referrer verraten interne Bugreports

Stellenmarkt
  1. Enertrag Aktiengesellschaft, Dauerthal, Berlin
  2. Rolf Weber KG, Schauenstein

David Fifield, der Entwickler der ZIP-Bombe, stellte zudem fest, dass zahlreiche Hersteller von Sicherheitstools in ihren internen Bugtrackern offenbar Problemberichte erstellt hatten. Diese verrieten sich dadurch, dass aus den Bugreports heraus Fifields Webseite verlinkt wurde und diese dort dank ihrer HTTP-Referrer in den Logdateien landeten. Unter den Referrern befinden sich interne Bugreports von bekannten Herstellern von Sicherheitsprodukten, darunter Avira, Eset, Fortinet, Mcafee, Palo Alto Networks und Trend Micro. Auch ein interner Bugtracker der EU-Kommission wird dort aufgelistet.

Das Verschicken von HTTP-Referrern kann man durch den HTTP-Header Referrer-Policy verhindern. Insbesondere für interne Zwecke gedachte Bugtracker sollten auf jeden Fall diesen Header entweder auf den Wert "no-referrer" (überhaupt keine Referrer senden) oder "same-origin" (Referrer nur bei internen Links) setzen.

Einige Antivirenprogramme versuchen inzwischen vor solchen ZIP-Bomben zu warnen.

Antiviren-Programme erkennen Beispieldatei, aber keine Varianten davon 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-55%) 44,99€
  3. 4,99€
  4. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)

heikom36 08. Aug 2019

Wenn man nicht über den Titel hinaus kommt, mag man das vielleicht annehmen. Die Technik...

heikom36 08. Aug 2019

Les mal den Artikel - gerade die tollen kostenpflichtigen erkennen es nicht. Und der...

heikom36 08. Aug 2019

Sollte man so eine Software überhaupt als Admin laufen lassen? ;-)

heikom36 08. Aug 2019

Wenn man es genau nimmt: Sicherer als die EC Karte, die sicherheitstechnisch seit...

heikom36 08. Aug 2019

Die Technik dahinter ist keineswegs 1995, die ist neu.


Folgen Sie uns
       


Samsungs 49-Zoll-QLED-Gaming-Monitor - Test

Der Samsung CRG9 ist nicht nur durch sein 32:9-Format beeindruckend. Auch die hohe Bildfrequenz und sehr gute Helligkeit ermöglichen ein sehr immersives Gaming und viel Platz für Multitasking.

Samsungs 49-Zoll-QLED-Gaming-Monitor - Test Video aufrufen
WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

    •  /