Abo
  • Services:
Anzeige
Schwachstellen für Antivirensoftware werden regelmäßig gehandelt.
Schwachstellen für Antivirensoftware werden regelmäßig gehandelt. (Bild: Tavis Ormandy / Wikileaks)

Security: Mehr Sicherheitslücken in Kasperskys Antivirensoftware

Schwachstellen für Antivirensoftware werden regelmäßig gehandelt.
Schwachstellen für Antivirensoftware werden regelmäßig gehandelt. (Bild: Tavis Ormandy / Wikileaks)

Virenscanner sollen Nutzer eigentlich vor Bedrohungen schützen. Doch durch schlampige Programmierung hätten viele von ihnen selbst Sicherheitslücken, sagt Google-Forscher Tavis Ormandy. Jetzt hat er weitere Details zu Mängeln bei Kaspersky veröffentlicht.

Anzeige

Virenscanner von Kaspersky enthalten eine ganze Reihe von Sicherheitslücken - das sagt Tavis Ormandy von Googles Projekt Zero. Mit Hilfe von Fuzzing und Googles Cloud-Plattform Scale habe er Produkte von Kaspersky auf Schwachstellen getestet und sei fündig geworden. Bereits Anfang September hatte Ormandy erste Informationen zu Lücken in Kaspersky-Produkten veröffentlicht und weitere Informationen angekündigt.

Ormandy wurde in der Vergangenheit mehrfach für seine angeblich unverantwortliche Veröffentlichungspraxis von Sicherheitslücken kritisiert. In seinem Blogpost betont er jetzt, dass Kaspersky seit längerem informiert sei und die kritischen Bugs bereits geschlossen habe. Er forsche nicht nur über die Sicherheit von Kaspersky-Produkten, sondern untersuche auch Produkte von Sophos und Eset. Zudem kündigte er weitere Enthüllungen an.

Um Bedrohungen zu finden, durchsuchen Virenscanner üblicherweise den Netzwerk- und Datenverkehr. Für einen Virenscanner-Exploit reicht es demnach aus, eine Webseite anzusurfen oder eine E-Mail über das Mailprogramm abzurufen. Weitere Handlungen des Nutzers sind nicht erforderlich.

Fuzzing zeigt Lücken in Thinstall-Containern auf

Die Antivirensoftware von Kaspersky entpackt Thinstall-Container, um sie auf Malware zu durchsuchen. Durch Fuzzing der Thinstall-Anwendungen fand Ormandi einen Stack-Buffer-Overflow. Weil Kaspersky darauf verzichtete, den Overflow-Schutz /GS zu aktivieren, konnte er den Stack Frame überschreiben und manipulieren. In der Visual-Studio-Entwicklungsumgebung wird /GS Standardmäßig aktiviert, um Pufferüberläufe zu verhindern. Der Hersteller empfiehlt, die Option nur bei nicht sicherheitskritischen Anwendungen zu deaktivieren. Wieso Kaspersky die Option nicht nutzte, ist unklar.

Beim Exploit-Vorgang kam dem Google-Forscher zugute, dass das Kaspersky-Team Fehler in der Implementation von /Dynamicbase gemacht hatte. Die Funktion weist auszuführenden Instruktionen mit Adress-Space-Layout-Randomization (ASLR) per Rebase einen zufälligen Speicherbereich zu, um erfolgreiche Exploits zu erschweren.

Kaspersky scannt Zip-Archive auch im Verbund mit anderen Dateien

Der ursprüngliche Plan, eine infizierte DLL-Datei über den Windows-Loader zu laden, schlug fehl. Deshalb nutzte Ormandy aus, dass Kaspersky auch Zip-Archive scannt, die per Cat mit anderen Dateien verknüpft wurden. Er integrierte seinen Exploit in eine Zip-Datei und verknüpfte diese mit einer DLL. Damit gelang es ihm, über einen manipulierten Befehl den Windows-Rechner zu starten.

Ormandy will mit seinen Recherchen auf Fehler in Antivirus-Programmen hinweisen. Exploits für diese Programme würden regelmäßig gehandelt. Antivirenhersteller sollten Sandboxing für ihre Unpacker nutzen und dafür sorgen, dass die Prozesse mit weniger Berechtigungen laufen.

Nachtrag

Kaspersky hat bekanntgegeben, dass alle von Tavis Ormandy angezeigten Sicherheitslücken mittlerweile behoben seien. Insbesondere habe das Unternehmen den Stack-Overflow-Schutz /GS aktiviert, und es arbeite weiter an der Verbesserung der Produktsicherheit.


eye home zur Startseite
tibrob 24. Sep 2015

1. Falsch. 2. Nein.

Anonymer Nutzer 24. Sep 2015

Die Firma AVG, Hersteller von Antiviren-Software, will Nutzerdaten künftig an...

Ultronkalaver 24. Sep 2015

TuneUp gibt es immer noch? Oh oh ... ich hatte gehofft die würden pleite gehen und das...

Ultronkalaver 24. Sep 2015

Viren sind heute nicht mehr das Problem. Das kann jede Software aber hier liegt nicht...



Anzeige

Stellenmarkt
  1. OPITZ CONSULTING Deutschland GmbH, verschiedene Standorte
  2. via 3C - Career Consulting Company GmbH, München, Frankfurt, Hamburg, Düsseldorf, Berlin (Home-Office)
  3. Ratbacher GmbH, München
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Top-Angebote
  1. 259€ + 5,99€ Versand
  2. 499€ - Wieder bestellbar. Ansonsten gelegentlich bezügl. Verfügbarkeit auf der Bestellseite...

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Optimierungsprogramm Ccleaner-Malware sollte wohl Techkonzerne ausspionieren
  2. Messenger Wire-Server steht komplett unter Open-Source-Lizenz
  3. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack

Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe
  2. Anki Cozmo ausprobiert Niedlicher Programmieren lernen und spielen

Edge Computing: Randerscheinung mit zentraler Bedeutung
Edge Computing
Randerscheinung mit zentraler Bedeutung
  1. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger
  2. DDoS 30.000 Telnet-Zugänge für IoT-Geräte veröffentlicht
  3. Deutsche Telekom Narrowband-IoT-Servicepakete ab 200 Euro

  1. Re: Das stimmt imho so nicht, ...

    Der Held vom... | 08:56

  2. Re: Es ist erstaunlich, dass...

    thomas.pi | 08:24

  3. Naiv

    Pldoom | 05:17

  4. Bitte löschen.

    Pldoom | 05:16

  5. Re: Aber PGP ist schuld ...

    Pete Sabacker | 03:31


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel