PDA

Visualizza versione completa : Kaspersky Anti-Virus Products Remote Heap Overflow Vulnerability


Giorgius
04-10-2005, 09.13.31
A vulnerability has been identified in various Kaspersky Anti-Virus products, which could be exploited by attackers or malware to execute arbitrary commands. This flaw is due to a heap overflow error in the CAB file format parser (cab.ppl) that does not properly handle a specially crafted file containing a malformed header, which could be exploited by attackers to execute arbitrary commands and compromise a vulnerable system (e.g. by sending an email containing a malicious CAB file).

Info:
http://www.frsirt.com/english/advisories/2005/1934

meridio73
05-10-2005, 10.32.25
Riporto la notizia in italiano per chi avesse problemi di lingua:

Kaspersky, dalla Russia con bug
Il celebre antivirus russo soffre di un grave problema di sicurezza che potrebbe esporre gli utenti ad aggressioni esterne. Problemi, pur meno gravi, anche nell'antivirus BitDefender e nel firewall ZoneAlarm

Roma - Nel codice dei software antivirus della societą russa Kaspersky Labs si cela una pericolosa vulnerabilitą di sicurezza che potrebbe consentire ad un cracker di prendere il pieno controllo di un PC da remoto.

Il problema č stato scoperto dal ricercatore di sicurezza Alex Wheeler, che in questo advisory ha spiegato come il bug si annidi nella libreria antivirus utilizzata da diversi prodotti di Kaspersky, tra cui Anti-Virus 4.x e 5.x e SMTP-Gateway 5.x.

La vulnerabilitą č causata da un errore di heap overflow nel codice della libreria che gestisce i file compressi ".CAB": un aggressore potrebbe approfittarne per creare uno speciale file CAB che, una volta aperto, esegua del codice a sua scelta.

FrSIRT, che ha assegnato alla falla un grado di pericolositą "critical", ha avvisato che il buco potrebbe essere sfruttato anche dai virus.

Nel momento in cui scriviamo Kaspersky non ha ancora rilasciato alcuna correzione al problema.

Negli scorsi giorni č stato scoperto un bug anche in altri due noti prodotti per la sicurezza: l'antivirus BitDefender e il firewall personale ZoneAlarm. Nel primo caso la falla, utilizzabile da remoto per eseguire comandi arbitrari, č causata da una non corretta gestione di certi formati di stringa quando viene generato il rapporto sulla scansione antivirus. Secunia ha spiegato in questo advisory che la vulnerabilitą, classificata come "moderately critical", č presente solo se l'opzione Crea file di rapporto č attivata. Il problema interessa tutte le edizioni di BitDefender e le versioni 7.x, 8.x e 9.0.

Per quanto riguarda ZoneAlarm, il ricercatore di sicurezza Debasis Mohanty ha scoperto una potenziale breccia di sicurezza sfruttabile per spingere un programma ad accedere ad Internet bypassando il controllo del firewall. La debolezza affligge le versioni 5x e inferiori di ZoneAlarm e le versioni 5.5 e 6.0 di Check Point Integrity Client. Gli utenti dei prodotti commerciali di ZoneLabs possono risolvere il problema attivando la funzionalitą Advanced Program Control o scaricando le ultime versioni aggiornate del software. Per la versione gratuita di ZoneAlarm non č al momento disponibile alcuna patch.

Fonte: Punto informatico