• IT-Karriere:
  • Services:

Kompression: Antiviren-Programme stolpern über ZIP-Bombe

Eine besondere ZIP-Datei kann bei vielen Antiviren-Programmen zu extrem hoher CPU-Last führen und sie praktisch außer Gefecht setzen. Mit Tricks gelang es einem Sicherheitsforscher, extrem hohe Datenkompressionsraten zu erreichen.

Artikel veröffentlicht am ,
Antiviren-Programme haben oft den Ruf, Schlangenöl zu sein. Zu Recht?
Antiviren-Programme haben oft den Ruf, Schlangenöl zu sein. Zu Recht? (Bild: Jeremy Weate, Wikimedia Commons/CC-BY 2.0)

Eine neuartige Form von ZIP-Bomben kann diverse Antiviren-Programme außer Gefecht setzen. Die Reaktionen der Hersteller sind dabei teilweise sehr unprofessionell. Einige verhindern das Scannen der bereitgestellten Beispieldatei, aber lassen sich bereits durch leichte Variationen austricksen. Zudem verrieten mehrere Hersteller über HTTP-Referrer ihre internen Bugtracker.

Inhalt:
  1. Kompression: Antiviren-Programme stolpern über ZIP-Bombe
  2. Antiviren-Programme erkennen Beispieldatei, aber keine Varianten davon

Der Hintergrund: Vor etwa einem Monat hatte der Softwareentwickler David Fifield eine Methode vorgestellt, mit der man extrem hohe Kompressionsraten in ZIP-Dateien erreichen kann. Der Trick dabei: Dieselben Datensegmente werden aus mehreren Dateien referenziert. Damit gelang es Fifield beispielsweise, eine 10-Megabyte-Datei zu erstellen, die entpackt 281 Terabyte an Daten enthielt. Diese Methoden hat Fifield auf der Konferenz USENIX Woot präsentiert.

ZIP-Bombe führt bei zahlreichen Antivirenprogrammen zu Überlastung

Solche ZIP-Bomben oder Kompressionsbomben können Software, die gepackte Dateien automatisch entpackt, außer Gefecht setzen, etwa weil es extrem lange dauert, die Daten zu extrahieren, oder weil der Speicher vollläuft.

Auf der Plattform Virustotal kann man Dateien hochladen, die dann mit vielen verschiedenen Antiviren-Programmen gescannt werden. Kurz nach Veröffentlichung der neuen ZIP-Bombe führte ein Scan der Datei bei 15 der getesteten Virenscanner zu einem Time-out, darunter Mcafee, Sophos und F-Secure.

HTTP-Referrer verraten interne Bugreports

Stellenmarkt
  1. IPB Internet Provider in Berlin GmbH, Berlin
  2. Stadt Frankfurt am Main, Frankfurt am Main

David Fifield, der Entwickler der ZIP-Bombe, stellte zudem fest, dass zahlreiche Hersteller von Sicherheitstools in ihren internen Bugtrackern offenbar Problemberichte erstellt hatten. Diese verrieten sich dadurch, dass aus den Bugreports heraus Fifields Webseite verlinkt wurde und diese dort dank ihrer HTTP-Referrer in den Logdateien landeten. Unter den Referrern befinden sich interne Bugreports von bekannten Herstellern von Sicherheitsprodukten, darunter Avira, Eset, Fortinet, Mcafee, Palo Alto Networks und Trend Micro. Auch ein interner Bugtracker der EU-Kommission wird dort aufgelistet.

Das Verschicken von HTTP-Referrern kann man durch den HTTP-Header Referrer-Policy verhindern. Insbesondere für interne Zwecke gedachte Bugtracker sollten auf jeden Fall diesen Header entweder auf den Wert "no-referrer" (überhaupt keine Referrer senden) oder "same-origin" (Referrer nur bei internen Links) setzen.

Einige Antivirenprogramme versuchen inzwischen vor solchen ZIP-Bomben zu warnen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Antiviren-Programme erkennen Beispieldatei, aber keine Varianten davon 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 44€ + 2,99€ Versand oder kostenlose Marktabholung (Bestpreis mit Amazon. Vergleichspreis 53...
  2. 44€ (Bestpreis mit Saturn. Vergleichspreis 53,98€)
  3. (u. a. MSI Optix MAG272CRX für 299€ + 6,99€ Versand statt ca. 450€ im Vergleich und Corsair...

heikom36 08. Aug 2019

Wenn man nicht über den Titel hinaus kommt, mag man das vielleicht annehmen. Die Technik...

heikom36 08. Aug 2019

Les mal den Artikel - gerade die tollen kostenpflichtigen erkennen es nicht. Und der...

heikom36 08. Aug 2019

Sollte man so eine Software überhaupt als Admin laufen lassen? ;-)

heikom36 08. Aug 2019

Wenn man es genau nimmt: Sicherer als die EC Karte, die sicherheitstechnisch seit...

heikom36 08. Aug 2019

Die Technik dahinter ist keineswegs 1995, die ist neu.


Folgen Sie uns
       


Dell Latitude 7220 - Test

Das Latitude 7220 ist so stabil wie es aussieht: Es hält Wasser, Blumenerde und sogar mehrere Stürze hintereinander aus.

Dell Latitude 7220 - Test Video aufrufen
Corona: Der Staat muss uns vor der Tracing-App schützen
Corona
Der Staat muss uns vor der Tracing-App schützen

Politiker wie Axel Voss fordern "Anreize" für die Nutzung der Corona-App. Doch das schafft nicht das notwendige Vertrauen in die staatliche Technik.
Ein Gastbeitrag von Stefan Brink und Clarissa Henning

  1. Schnittstelle installiert Android-Handys sind bereit für die Corona-Apps
  2. Corona-App Google und Apple stellen Bluetooth-API bereit
  3. Coronapandemie Quarantäne-App soll Gesundheitsämter entlasten

Big Blue Button: Wie CCC-Urgesteine gegen Teams und Zoom kämpfen
Big Blue Button
Wie CCC-Urgesteine gegen Teams und Zoom kämpfen

Ein Verein aus dem Umfeld des CCC zeigt in Berlin, wie sich Schulen mit Open Source digitalisieren lassen. Schüler, Eltern und Lehrer sind begeistert.
Ein Bericht von Friedhelm Greis

  1. Mint-Allianz Wir bleiben schlau! Wir bleiben unwissend!
  2. Programmieren lernen Informatik-Apps für Kinder sind oft zu komplex

Ikea Trådfri im Test: Das preisgünstige Smart-Home-System
Ikea Trådfri im Test
Das preisgünstige Smart-Home-System

Ikea beweist, dass ein gutes Smart-Home-System nicht sündhaft teuer sein muss - und das Grundprinzip gefällt uns besser als bei Philips Hue.
Ein Test von Ingo Pakalski

  1. Ikea Trådfri Fehlerhafte Firmware ändert Schaltverhalten der Lampen
  2. Fyrtur und Kadrilj Ikeas smarte Rollos lernen Homekit
  3. Trådfri Ikeas dimmbares Filament-Leuchtmittel kostet 10 Euro

    •  /