Abo
  • IT-Karriere:

Virenscanner: ClamAV hat zahlreiche Schwachstellen

Nutzer von ClamAV sollten so schnell wie möglich auf die aktuelle Version der Software wechseln. Denn Sicherheitslücken ermöglichen Angreifern, zum Beispiel mit einem zugeschickten PDF Code auf dem Rechner der Nutzer auszuführen.

Artikel veröffentlicht am ,
ClamAV sollte dringend gepatcht werden.
ClamAV sollte dringend gepatcht werden. (Bild: ClamAV)

Der Virenscanner ClamAV hat zahlreiche Sicherheitslücken, die mit einer aktuellen Version behoben werden. Die aktuelle Version hat die Nummer 0.99.3. Der Virenscanner weist in den verwundbaren Versionen vor allem verschiedene Speicherfehler auf.

Stellenmarkt
  1. Schaeffler Automotive Buehl GmbH & Co. KG, Bühl
  2. operational services GmbH & Co. KG, verschiedene Standorte

Eine Use-After-Free-Schwachstelle im Mail Parser von ClamAV kann dazu genutzt werden, das Programm gezielt zum Absturz zu bringen. Schuld daran sind fehlende Prüfungen von Eingaben (CVE-2017-12374). Ein ähnlicher Fehler führt zu einem Buffer Overflow, auch hier kann das Programm zum Absturz gebracht werden. Auch der Prüfmechanismus für Tar-Archive kann genutzt werden, um einen Absturz gezielt herbeizuführen (CVE-2017-12378).

Angreifer können mit PDF Code ausführen

Ein wenig kritischer ist die Lage bei der Prüfung von PDF-Dokumenten. Ein Angreifer kann ein speziell erstelltes Dokument dazu nutzen und damit nach Angaben des Herstellers unter Umständen beliebigen Code ausführen (CVE-2017-12376). Das gleiche gilt für einen Fehler beim Parsen von E-Mail-Nachrichten. Eine präparierte E-Mail kann hier einen Buffer Overflow erzeugen, der dann für weitere Angriffe ausgenutzt werden kann (CVE-2017-12379).

Wer ClamAV nutzt, sollte das Update schnell installieren. Einige VPN- und Privacy-Boxen und andere Linux-basierte IoT-Geräte nutzen ClamAV ebenfalls als Engine. Hier sollten Nutzer überprüfen, ob das Update auf dem Gerät eingespielt wird oder ClamAV alternativ komplett deaktiviert werden kann.

Immer wieder werden auch in Antivirensoftware kritische Sicherheitslücken entdeckt. Wir haben in einem Hintergrundartikel grundsätzliche Probleme moderner Sicherheitssoftware beleuchtet.



Anzeige
Top-Angebote
  1. 107,90€
  2. (u. a. Bohrhammer für 114,99€, Schraubendreher-Set für 27,99€, Ortungsgerät für 193,99€)
  3. (u. a. Multi Schleifmaschine für 62,99€, Schlagbohrmaschine für 59,99€, Akku Staubsauger für...
  4. (aktuell u. a. SilentiumPC Stella HP Gehäuselüfter für 10,99€, SilentiumPC Regnum RG4 Frosty...

Ninos 29. Jan 2018

THX, ich verstehe aber bis heute nicht, wieso man auf einem Server Ubuntu installiert...

Harri 27. Jan 2018

klasse link, vielen Dank


Folgen Sie uns
       


Acer Predator Helios 700 - Hands on (Ifa 2019)

Was für ein skurriles Gerät: Golem.de schaut sich das Gaming-Notebook Predator Triton 700 von Acer an und probiert die Schiebetastatur aus.

Acer Predator Helios 700 - Hands on (Ifa 2019) Video aufrufen
Party like it's 1999: Die 510 letzten Tage von Sega
Party like it's 1999
Die 510 letzten Tage von Sega

Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
Von Martin Wolf


    Garmin Fenix 6 im Test: Laufzeitmonster mit Sonne im Herzen
    Garmin Fenix 6 im Test
    Laufzeitmonster mit Sonne im Herzen

    Bis zu 24 Tage Akkulaufzeit, im Spezialmodus sogar bis zu 120 Tage: Garmin setzt bei seiner Sport- und Smartwatchserie Fenix 6 konsequent auf Akku-Ausdauer. Beim Ausprobieren haben uns neben einem System zur Stromgewinnung auch neue Energiesparoptionen interessiert.
    Ein Test von Peter Steinlechner

    1. Fenix 6 Garmins Premium-Wearable hat ein Pairing-Problem
    2. Wearable Garmin Fenix 6 bekommt Solarstrom

    Apple TV+: Apples Videostreamingdienst ist nicht konkurrenzfähig
    Apple TV+
    Apples Videostreamingdienst ist nicht konkurrenzfähig

    Bei so einem mickrigen Angebot hilft auch ein mickriger Preis nicht: Apples Streamingdienst hat der Konkurrenz von Netflix, Amazon und bald Disney nichts entgegenzusetzen - und das wird sich auf Jahre nicht ändern.
    Eine Analyse von Ingo Pakalski

    1. Apple TV+ Apples Streamingangebot kostet 4,99 Euro im Monat
    2. Videostreaming Apple TV+ startet mit fünf Serien für 10 US-Dollar monatlich

      •  /