Wirbel um kritische Lücke in Symantecs Antivirenprodukten [Update]
Über die Lücke soll sich ohne Interaktion des Anwenders Schadcode auf dem PC ausführen lassen. Der Entdecker vermutet, ein Wurm könnte über die klaffende Lücke in Systeme eindringen, Dateien zerstören und Backdoors öffnen.
- Daniel Bachfeld
Eine vor zwei Tagen vom Sicherheitsdienstleister eEye an Symantec gemeldete Sicherheitslücke in deren Antivirus-Programmen sorgt in US-Medien bereits für einigen Wirbel. Der Grund: Über die Lücke ließe sich ohne Interaktion des Anwenders Schadcode auf dem PC ausführen. Das ist eigentlich etwas, was ein Antvirenprogramm verhindern sollte. Zwar gibt die Beschreibung von eEye zu der Lücke noch nicht viel her, gegenüber Medienvertretern äußerte ein Sprecher von eEye aber schon mal die Vermutung, ein Wurm könnte über die klaffende Lücke in die Systeme eindringen, Dateien zerstören und Backdoors öffnen. Da Symantecs Antivirenprodukte auf rund 200 Millionen Systemen in Unternehmen und bei Privatanwendern installiert ist, ist die Sorge eines möglichen Wurmausbruchs nicht ganz unberechtigt. Allerdings gilt dies für eine Vielzahl anderer Lücken auch.
Warum eEye nun gerade auf diese Lücke nachdrücklich zu sprechen kommt, ist unklar. Ausnutzbare Buffer Overflows in Antivirensoftware gab es in den vergangenen Monaten reichlich, darunter auch in Produkten von F-Secure, McAfee, ClamAV, Sophos und anderen. Allerdings hat eEye in der Vergangenheit schon einmal für einen Aufstand in den Medien rund um eine Lücke im ASN.1-Parser von Windows gesorgt. Damals hieß es von eEye, die Lücke sei eine noch nie dagewesene Bedrohung, da sehr viele Systeme verwundbar seien. Größere Angriffe oder gar Wurmausbrüche blieben jedoch aus.
Dennoch sollten Anwender die Warnung nicht auf die leichte Schulter nehmen. Betroffen sind Symantec Antivirus 10.x und Symantec Client Security 3.x. Andere Produkte enthalten die Lücke wahrscheinlich ebenfalls, Symantec prüft die Analysen von eEye noch. Ein Patch ist noch nicht verfügbar. Derzeit scheint es aber noch keine Sicherheitsvorfälle rund um die neue Lücke gegeben zu haben.
Update
Symantec hat seinen Fehlerbericht aktualisiert. Demnach sind nur Symantec Antivirus 10.1 und Symantec Client Security 3.1 von dem Problem betroffen. Produkte der Norton-Familie enthalten den Fehler nicht. Als Gegenmaßnahme für mögliche Angriffe auf die Buffer-Overflow-Lücke stellt Symantec Signaturen für die Intrusion Prevention Systeme per LiveUpdate bereit.
Siehe dazu auch: (dab)
- Upcoming Advisories, Fehlerbericht von eEye
- Symantec AntiVirus 10.x Reported Vulnerability, Fehlerbericht von Symantec
