Abo
  • IT-Karriere:

Kompression: Antiviren-Programme stolpern über ZIP-Bombe

Eine besondere ZIP-Datei kann bei vielen Antiviren-Programmen zu extrem hoher CPU-Last führen und sie praktisch außer Gefecht setzen. Mit Tricks gelang es einem Sicherheitsforscher, extrem hohe Datenkompressionsraten zu erreichen.

Artikel veröffentlicht am ,
Antiviren-Programme haben oft den Ruf, Schlangenöl zu sein. Zu Recht?
Antiviren-Programme haben oft den Ruf, Schlangenöl zu sein. Zu Recht? (Bild: Jeremy Weate, Wikimedia Commons/CC-BY 2.0)

Eine neuartige Form von ZIP-Bomben kann diverse Antiviren-Programme außer Gefecht setzen. Die Reaktionen der Hersteller sind dabei teilweise sehr unprofessionell. Einige verhindern das Scannen der bereitgestellten Beispieldatei, aber lassen sich bereits durch leichte Variationen austricksen. Zudem verrieten mehrere Hersteller über HTTP-Referrer ihre internen Bugtracker.

Inhalt:
  1. Kompression: Antiviren-Programme stolpern über ZIP-Bombe
  2. Antiviren-Programme erkennen Beispieldatei, aber keine Varianten davon

Der Hintergrund: Vor etwa einem Monat hatte der Softwareentwickler David Fifield eine Methode vorgestellt, mit der man extrem hohe Kompressionsraten in ZIP-Dateien erreichen kann. Der Trick dabei: Dieselben Datensegmente werden aus mehreren Dateien referenziert. Damit gelang es Fifield beispielsweise, eine 10-Megabyte-Datei zu erstellen, die entpackt 281 Terabyte an Daten enthielt. Diese Methoden hat Fifield auf der Konferenz USENIX Woot präsentiert.

ZIP-Bombe führt bei zahlreichen Antivirenprogrammen zu Überlastung

Solche ZIP-Bomben oder Kompressionsbomben können Software, die gepackte Dateien automatisch entpackt, außer Gefecht setzen, etwa weil es extrem lange dauert, die Daten zu extrahieren, oder weil der Speicher vollläuft.

Auf der Plattform Virustotal kann man Dateien hochladen, die dann mit vielen verschiedenen Antiviren-Programmen gescannt werden. Kurz nach Veröffentlichung der neuen ZIP-Bombe führte ein Scan der Datei bei 15 der getesteten Virenscanner zu einem Time-out, darunter Mcafee, Sophos und F-Secure.

HTTP-Referrer verraten interne Bugreports

Stellenmarkt
  1. EnBW Energie Baden-Württemberg AG, Karlsruhe
  2. OEDIV KG, Bielefeld

David Fifield, der Entwickler der ZIP-Bombe, stellte zudem fest, dass zahlreiche Hersteller von Sicherheitstools in ihren internen Bugtrackern offenbar Problemberichte erstellt hatten. Diese verrieten sich dadurch, dass aus den Bugreports heraus Fifields Webseite verlinkt wurde und diese dort dank ihrer HTTP-Referrer in den Logdateien landeten. Unter den Referrern befinden sich interne Bugreports von bekannten Herstellern von Sicherheitsprodukten, darunter Avira, Eset, Fortinet, Mcafee, Palo Alto Networks und Trend Micro. Auch ein interner Bugtracker der EU-Kommission wird dort aufgelistet.

Das Verschicken von HTTP-Referrern kann man durch den HTTP-Header Referrer-Policy verhindern. Insbesondere für interne Zwecke gedachte Bugtracker sollten auf jeden Fall diesen Header entweder auf den Wert "no-referrer" (überhaupt keine Referrer senden) oder "same-origin" (Referrer nur bei internen Links) setzen.

Einige Antivirenprogramme versuchen inzwischen vor solchen ZIP-Bomben zu warnen.

Antiviren-Programme erkennen Beispieldatei, aber keine Varianten davon 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. mit Gutschein: NBBGRATISH10

heikom36 08. Aug 2019 / Themenstart

Wenn man nicht über den Titel hinaus kommt, mag man das vielleicht annehmen. Die Technik...

heikom36 08. Aug 2019 / Themenstart

Les mal den Artikel - gerade die tollen kostenpflichtigen erkennen es nicht. Und der...

heikom36 08. Aug 2019 / Themenstart

Sollte man so eine Software überhaupt als Admin laufen lassen? ;-)

heikom36 08. Aug 2019 / Themenstart

Wenn man es genau nimmt: Sicherer als die EC Karte, die sicherheitstechnisch seit...

heikom36 08. Aug 2019 / Themenstart

Die Technik dahinter ist keineswegs 1995, die ist neu.

Kommentieren


Folgen Sie uns
       


Wolfenstein Youngblood angespielt

Zwillinge im Kampf gegen das Böse: Im Actionspiel Wolfenstein Youngblood müssen sich Jess und Soph Blazkowicz mit dem Regime anlegen.

Wolfenstein Youngblood angespielt Video aufrufen
Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Carver Elektro-Kabinenroller als Dreirad mit Neigetechnik
  2. Elektroauto Neuer Chevrolet Bolt fährt 34 km weiter
  3. Elektroauto Porsches Elektroauto Taycan im 24-Stunden-Dauertest

Erdbeobachtung: Satelliten im Dienst der erneuerbaren Energien
Erdbeobachtung
Satelliten im Dienst der erneuerbaren Energien

Von oben ist der Blick auf die Erde am besten. Satelliten werden deshalb für die Energiewende eingesetzt: Mit ihnen lassen sich beispielsweise die Standorte für Windkraftwerke oder Solaranlagen bestimmen sowie deren Ertrag prognostizieren.
Ein Bericht von Jan Oliver Löfken

  1. Rocketlab Kleine Rakete wird wiederverwendbar und trotzdem teurer
  2. Space Data Highway Esa bereitet Laser-Kommunikationsstation für den Start vor
  3. Iridium Certus Satelliten-Breitbandnetz startet mit 350 bis 700 KBit/s

    •  /