Loading...Das Unternehmen reagiert damit auf die Angreifbarkeit virengescannter ZIP-Dateien in verschiedenen Anti-Viren-Programmen. Bei einem der nächsten Updates soll die Lücke geschlossen werden.
Die Sicherheitsexperten von Kaspersky Lab haben am Wochenende die vom Sicherheitsunternehmen iDefense festgestellte Angreifbarkeit virengescannter ZIP-Dateien in verschiedenen Anti-Viren-Programmen von McAfee, Computer Associates, Kaspersky Lab, Sophos, Eset und RAV bestätigt.
Die Manipulation erfolgt nach Angaben von Kaspersky, indem die Datei-Header einer ZIP-Datei leicht verändert werden. Durch diese Veränderungen könnten die ZIP-Dateien weiterhin geöffnet und darin enthaltene Dateien mit den eingeschleusten Würmern oder Viren eingepackt werden. Erst nach ihrer Aktivierung würden die Viren und Würmer durch den Virenscanner erkannt.
Das Datei-Format ZIP bewahrt die Information über jede komprimierte Datei an zwei verschiedenen Orten auf (local/global header). Diese Datei-Header enthalten die Daten über die reale Größe der unkomprimierten Datei. Wenn die reale Größe der unkomprimierten Dateien in beiden Dateivorsätzen auf ‘0’ verändert wird, überprüft der Virenscanner die Datei, betrachtet sie als zu klein, als dass sie potenzielle Gefahren beinhalten könnte, und stuft diese als ungefährlich ein. Da die Dienstprogramme der Archive jedoch beim Auspacken der Dateien nicht die angezeigte Größe nutzen, werden nun die bereits modifizierten Archive entpackt.
“Wir danken iDefense, dass die Aufmerksamkeit auf diese Manipulierbarkeit gerichtet wurde. Bislang ist es nur ein theoretisches Sicherheitsrisiko, wir haben keinerlei Angriffsversuche zu verzeichnen. Die Experten von Kaspersky Lab beheben den gefundenen Fehler, der durch das Missverhältnis von ZIP-Mechanismen und Antiviren-Scanner hervorgerufen wird”, unterstrich Eugene Kaspersky, Leiter der Kasperky Lab-Anti-Viren-Forschung.
“Bei der Analyse der archivierten Datei wiederholt der Virenscanner vollständig die Vorgänge des Archivierungsprogramms, indem er zunächst die Datei auspackt und erst danach analysiert. Dieses Prozedere bietet Anwendern von Kaspersky Anti-Virus einen vollständigen Schutz vor manipulierten ZIP-Archiven. Eines der nächsten wöchentlichen Updates für die Versionen 3.x und 4.x sowie ein Patch für 5.x werden die inkonsistenten Mechanismen zwischen Virenscanner und ZIP-Archiver beseitigen”, versprach Kaspersky.
