Abo
  • Services:
Anzeige
Schwachstellen für Antivirensoftware werden regelmäßig gehandelt.
Schwachstellen für Antivirensoftware werden regelmäßig gehandelt. (Bild: Tavis Ormandy / Wikileaks)

Security: Mehr Sicherheitslücken in Kasperskys Antivirensoftware

Schwachstellen für Antivirensoftware werden regelmäßig gehandelt.
Schwachstellen für Antivirensoftware werden regelmäßig gehandelt. (Bild: Tavis Ormandy / Wikileaks)

Virenscanner sollen Nutzer eigentlich vor Bedrohungen schützen. Doch durch schlampige Programmierung hätten viele von ihnen selbst Sicherheitslücken, sagt Google-Forscher Tavis Ormandy. Jetzt hat er weitere Details zu Mängeln bei Kaspersky veröffentlicht.

Anzeige

Virenscanner von Kaspersky enthalten eine ganze Reihe von Sicherheitslücken - das sagt Tavis Ormandy von Googles Projekt Zero. Mit Hilfe von Fuzzing und Googles Cloud-Plattform Scale habe er Produkte von Kaspersky auf Schwachstellen getestet und sei fündig geworden. Bereits Anfang September hatte Ormandy erste Informationen zu Lücken in Kaspersky-Produkten veröffentlicht und weitere Informationen angekündigt.

Ormandy wurde in der Vergangenheit mehrfach für seine angeblich unverantwortliche Veröffentlichungspraxis von Sicherheitslücken kritisiert. In seinem Blogpost betont er jetzt, dass Kaspersky seit längerem informiert sei und die kritischen Bugs bereits geschlossen habe. Er forsche nicht nur über die Sicherheit von Kaspersky-Produkten, sondern untersuche auch Produkte von Sophos und Eset. Zudem kündigte er weitere Enthüllungen an.

Um Bedrohungen zu finden, durchsuchen Virenscanner üblicherweise den Netzwerk- und Datenverkehr. Für einen Virenscanner-Exploit reicht es demnach aus, eine Webseite anzusurfen oder eine E-Mail über das Mailprogramm abzurufen. Weitere Handlungen des Nutzers sind nicht erforderlich.

Fuzzing zeigt Lücken in Thinstall-Containern auf

Die Antivirensoftware von Kaspersky entpackt Thinstall-Container, um sie auf Malware zu durchsuchen. Durch Fuzzing der Thinstall-Anwendungen fand Ormandi einen Stack-Buffer-Overflow. Weil Kaspersky darauf verzichtete, den Overflow-Schutz /GS zu aktivieren, konnte er den Stack Frame überschreiben und manipulieren. In der Visual-Studio-Entwicklungsumgebung wird /GS Standardmäßig aktiviert, um Pufferüberläufe zu verhindern. Der Hersteller empfiehlt, die Option nur bei nicht sicherheitskritischen Anwendungen zu deaktivieren. Wieso Kaspersky die Option nicht nutzte, ist unklar.

Beim Exploit-Vorgang kam dem Google-Forscher zugute, dass das Kaspersky-Team Fehler in der Implementation von /Dynamicbase gemacht hatte. Die Funktion weist auszuführenden Instruktionen mit Adress-Space-Layout-Randomization (ASLR) per Rebase einen zufälligen Speicherbereich zu, um erfolgreiche Exploits zu erschweren.

Kaspersky scannt Zip-Archive auch im Verbund mit anderen Dateien

Der ursprüngliche Plan, eine infizierte DLL-Datei über den Windows-Loader zu laden, schlug fehl. Deshalb nutzte Ormandy aus, dass Kaspersky auch Zip-Archive scannt, die per Cat mit anderen Dateien verknüpft wurden. Er integrierte seinen Exploit in eine Zip-Datei und verknüpfte diese mit einer DLL. Damit gelang es ihm, über einen manipulierten Befehl den Windows-Rechner zu starten.

Ormandy will mit seinen Recherchen auf Fehler in Antivirus-Programmen hinweisen. Exploits für diese Programme würden regelmäßig gehandelt. Antivirenhersteller sollten Sandboxing für ihre Unpacker nutzen und dafür sorgen, dass die Prozesse mit weniger Berechtigungen laufen.

Nachtrag

Kaspersky hat bekanntgegeben, dass alle von Tavis Ormandy angezeigten Sicherheitslücken mittlerweile behoben seien. Insbesondere habe das Unternehmen den Stack-Overflow-Schutz /GS aktiviert, und es arbeite weiter an der Verbesserung der Produktsicherheit.


eye home zur Startseite
tibrob 24. Sep 2015

1. Falsch. 2. Nein.

Anonymer Nutzer 24. Sep 2015

Die Firma AVG, Hersteller von Antiviren-Software, will Nutzerdaten künftig an...

Ultronkalaver 24. Sep 2015

TuneUp gibt es immer noch? Oh oh ... ich hatte gehofft die würden pleite gehen und das...

Ultronkalaver 24. Sep 2015

Viren sind heute nicht mehr das Problem. Das kann jede Software aber hier liegt nicht...



Anzeige

Stellenmarkt
  1. Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  2. Wilken Neutrasoft GmbH, Greven
  3. flexis AG, Chemnitz
  4. OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. 61,99€

Folgen Sie uns
       


  1. Mi Notebook Air

    Xiaomi baut Quadcore und Nvidia-Grafik ein

  2. Amazon Go

    Kassenloser Supermarkt öffnet

  3. Microsoft

    Großer Widerstand gegen US-Zugriff auf weltweite Cloud-Daten

  4. Künstliche Intelligenz

    Microsofts Bot zeichnet auf Geheiß alles

  5. Gemeinsame Bearbeitung

    Office für Mac wird teamfähig

  6. Lieferengpässe

    Große Nachfrage nach E-Smart überrascht Hersteller

  7. Rocketlab

    Billigrakete startet erfolgreich in Neuseeland

  8. Knappe Mehrheit

    SPD stimmt für Koalitionsverhandlungen mit Union

  9. Gerichtspostfach

    EGVP-Client kann weiter genutzt werden

  10. DLD-Konferenz

    Gabriel warnt vor digitalem Schlachtfeld Europa



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Spectre und Meltdown: All unsere moderne Technik ist kaputt
Spectre und Meltdown
All unsere moderne Technik ist kaputt
  1. E-Mail-Konto 90 Prozent der Gmail-Nutzer nutzen keinen zweiten Faktor
  2. BeA Noch mehr Sicherheitslücken im Anwaltspostfach
  3. VEP Charter Trump will etwas transparenter mit Sicherheitslücken umgehen

Star Citizen Alpha 3.0 angespielt: Es wird immer schwieriger, sich auszuloggen
Star Citizen Alpha 3.0 angespielt
Es wird immer schwieriger, sich auszuloggen
  1. Cloud Imperium Games Star Citizen bekommt erst Polituren und dann Reparaturen
  2. Star Citizen Reaktionen auf Gameplay und Bildraten von Alpha 3.0
  3. Squadron 42 Mark Hamill fliegt mit 16 GByte RAM und SSD

Snet in Kuba: Ein Internet mit Billigroutern und ohne Porno
Snet in Kuba
Ein Internet mit Billigroutern und ohne Porno
  1. Crayfis Smartphones sollen kosmische Strahlung erfassen
  2. Internet Unternehmen in Deutschland weiter mittelmäßig versorgt
  3. Überwachungstechnik EU-Parlament fordert schärfere Ausfuhrregeln

  1. Re: KAnn man das Teil auch in Aktion sehen..

    toastedLinux | 09:44

  2. Re: Projekt U10 Prozent ist im vollen Gange

    quineloe | 09:43

  3. Re: Der Smart III ist kein Smart...

    feierabend | 09:42

  4. Re: Wendehals Schulz

    quineloe | 09:42

  5. Was bedeutet "Künstliche Intelligenz" eigentlich?

    Nr.1 | 09:42


  1. 09:31

  2. 09:16

  3. 09:00

  4. 08:33

  5. 08:01

  6. 07:51

  7. 07:40

  8. 16:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel