Comodo Antivirus killt Chrome 45-Browser per Code-Injection

Heute mal wieder etwas zu meinem Lieblingsthema: Wie Fremd-Internet-Security-Lösungen Systeme kaputt machen. Im aktuellen Drama: Hauptdarsteller ist Comodo Antivirus, Nebendarsteller ist Google Chrome in der gerade gelaunchten Version 45. Die Ursache lässt mal wieder tief blicken.


Anzeige

Auf den Fall hat Kristian Köhntopp bei Google+ hingewiesen. Das Ganze ist auf der Chromium-Site für den gerade (mit Sicherheitsfixes) freigegebenen Chrome Version 45-Browser als Issue 527496 aufgeführt. Wer Chrome Version 45 installiert und auf dem System Comodo Antivirus betreibt, wird die Meldung "Google Chrome has stopped working" oder ähnlich zu sehen bekommen. Der Browser wird nicht funktionieren (hier im Comodo User-Forum adressiert).

Interessanter ist aber der Grund, den Kristian Köhntopp beschreibt: Comodo schreibt von Windows-Gerätetreibern Binärcode in die TLS-Funktionen des Browsers. Der injizierte Code arbeitet als sogenannter Hook, um Aufruf auf die Treiber und damit auf Comodo-Antivirus umzuleiten. Dann lässt sich die TLS-verschlüsselte Datenübertragung vor der Verschlüsselung auswerten.

Ich hatte bereits in anderen Blog-Beiträgen darauf hingewiesen, dass diese Patcherei und die Verwendung von Dritthersteller-Antivirus-Lösungen mehr Sicherheitslücken aufreißt und Kollateralschäden verursacht, als viele denken. Bei Comodo geht die Geschichte folgendermaßen: Da werden die Binaries des Browers mit festem Offset im TLS-Teil gepatcht.

Doof, wenn ein Sicherheits-Update des Browsers oder eine neue Version vom Anwender (oder per Auto-Update) installiert wird und sich der Offset der betreffenden TLS-Funktion ändert. Dann schießt Comodo den neuen Browser ins digitale Nirvana – und der Anwender mault, weil dieses neue Chrome einen Bug hat.


Anzeige

black

Zur Abrundung: Da haben wir erneut meinen Liebling Comodo, die immer mal wieder (z.B. durch kompromittierte SSL Zertifikate) auffallen, aber gleichzeitig als Hersteller von Sicherheitslösungen auftreten. Nicht mal eine Versionsprüfung der gepatchten Windows-Anwendungen scheinen deren Entwickler zu implementieren. 

Das Ganze können wir nun mit Diskussionen in Foren oder in Facebook abrunden: "Welche Antivirus-Lösung könnt ihr für Windows 10 empfehlen?" – da schwöre ich Stein-und-Bein, dass da in Stammtischmanier auch Comodo dabei ist. Und das Schlimme: Heute hat's Comodo mal wieder erwischt, morgen fällt AVAST, AVIRA, KIS, Norton oder was weiß ich auf. Es ist schon, wie Kristian Köhntopp so schön schreibt:

Es sieht so aus, als sei der Desktop-Rechner des typischen Windows-Users gerade ein offener Kriegsschauplatz, auf dem Firmen sich gegenseitig die Binaries übermalen, Gerätetreiber übereinander stapeln, die Daten hin und her verändern und auch sonst die Kontrolle über das Gerät übernehmen.

Warum kommt mir nur die Sendung "Nepper, Schlepper, Bauernfänger" von Eduard Zimmermann in den Sinn? Ich komm nicht drauf – egal! Wohl bekomms und viel Spaß mit eurer Fremd-Internet-Sicherheitslösung …

Ähnliche Artikel:
Neues SSL-Problem: Comodo liefert Adware Privdog aus
Achtung Teffer: Deine Antivirus-Software als Sicherheitslücke?
Komodia SSL-Zertifikate faktisch überall – Teil V

Avast nutzt auch den 'Superfish-Ansatz' bei Mail Shield
Avast patzt mal wieder
AVAST: NG verursacht starke CPU-Last
Avast: Finger weg vom GrimeFighter
Windows 8.1 November Rollup Update kollidiert mit AVAST
Avast, die Toolbar und ein Shopping-Spion

Windows 8-Sicherheitslücke durch Virenscanner?
Ist ihr kostenloser Virenscanner ein Ressourcenfresser?
Live-Virenscanner: MS Standalone Sweeper
Kostenloser und portabler Microsoft Virenscanner
Windows 8, Anwenderwahn und die Virenscanner


Anzeige

Dieser Beitrag wurde unter Google Chrome, Problemlösung, Sicherheit, Windows, Windows 10 abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu Comodo Antivirus killt Chrome 45-Browser per Code-Injection

  1. Matthias sagt:

    Wenn ich keine "Dritthersteller-Antivirus-Lösungen" nutzen soll, was soll ich denn dann nutzen? Bliebe ja nur der MS Defender? Oder ganz von Virenscannern absehen.

    Bevor ich also jetzt in Foren frage und Stammtischantworten bekomme, bin ich gespannt auf Deine lösungsorientierte Antwort.

    • Paule21 sagt:

      Ja, den Windows Defender nutzen, der ist per Standard dabei und meiner Meinung nach vollkommen ausreichend. Einen 100%igen Schutz bekommst Du mit keinem AV-Programm. Ich habe seit Jahren keine zusätzliche AV-Software auf dem Rechner und fahre damit bisher sehr gut. Aber ich will keine Diskussion anzetteln, das ist so ein Thema bei dem man sich eh nie einig wird. ;-)

    • Günter Born sagt:

      Du hast die Lösung eigentlich genannt: Ab Windows 8 ist immer der Windows Defender an Bord. Läuft hier seit Jahren auf meinen Testsystemen und auf W7 ist MSE installiert.

      Wem der nicht ausreicht, wird sich halt in die Niederungen der einzelnen Anbieter begeben dürfen – und sollte sich bei Problemen auch bitte nicht im MS Answers-Forum melden, so nach dem Motto "ich habe ein Problem mit Windows …". Leider stelle ich fest, dass ein Großteil dieser Probleme von den "Dritthersteller-Antivirus-Lösungen" verursacht werden. Und ich weigere mich persönlich strikt, meine Freizeit zu investieren, um die Kohlen für die AV-Hersteller aus dem Feuer zu holen.

      Und was ich gar nicht ab kann: Die Hinweise 'ich suche einen Gratis-Virenscanner, der gut ist – die MS-Lösungen taugen ja nix' – wie blond muss man eigentlich für so was sein?

  2. Jens sagt:

    Ich bin auch mal gespannt was der Blogposter als AV Lösung empfiehlt…..

    MS Defender? Da kann ich auch gleich gar keine AV Lösung installieren…..

    Natürlich sollte mann mit Sinn und Verstand durchs Internet surfen, allerdings hilft das auch nicht immer gegen jeden Angriff.

  3. riedenthied sagt:

    Wenn man in einer Firma 1000 Clients betreut, kommt es schlichtweg auf andere Qualitäten an, die die MS-Lösungen gar nicht oder nur in begrenztem Umfang bieten können (zentrales Management, zentrale Konfiguration etc.). Von den miserablen Fangquoten, die jeder AV-Test immer wieder aufs neue bestätigt, ganz zu schweigen. Denn mit Hirn kann man beim OSI-Layer 8 der Clients leider nicht rechnen.

    • Günter Born sagt:

      Du hast Recht – aber Firmenlösungen sind hier im Blog eher außen vor – und ich gehe mal davon aus, dass ihr kein Commodo Antivirus oder eine der "Free-Antivirus-Lösungen" verwendet, sondern eher auf Forefront Protection & Co. setzt. Und ich postuliere mal, dass die betreffende IT weiß, was sie tut – oder irre ich?

      Zu den "miserablen Fangquoten, die jeder AV-Test immer wieder aufs neue bestätigt" schreibe ich mal nix, denn ich gehe mal davon aus, dass auch da die Firmen-IT so was zu interpretieren weiß ;-).

      • riedenthied sagt:

        Na ja gut, was soll ich sagen? Ich gehöre zur Firmen-IT und ich weiß das durchaus zu interpretieren. Offensichtlich aber in gänzlich anderer Art und Weise als du. :-) Und nein, wir nehmen kein Forefront, aber natürlich auch kein Comodo, sondern die Lösung eines anderen namhaften und ebenso bekannten Drittherstellers.

        • MyLife sagt:

          Defender ist ja nicht der einzinste Schutz. Da ist ja auch noch seit Windows 8 der Smartscreen-Filter auf Systemebene und nicht nur im Internet Explorer.

          • Günter Born sagt:

            Dem ist so. Und die andere Geschichte – man kann drüber diskutieren und zu anderen Schlüssen kommen – welche Malware tritt "in the wild" realistischerweise auf. Microsoft argumentiert da immer sehr verhalten, weist aber darauf hin, dass man per Smartfilter und Virensignatur die relevanten Schadprogramme abfängt. Kann sein, dass der eine oder andere Hersteller mal ein Qäntchen besser abschneidet. Aber das ändert sich – und die Kollateralschäden, die deren Lösungen zwischenzeitlich auf Privatanwendersystemen verursachen, sind imho das größere Risiko.

        • Günter Born sagt:

          Dass ihr irgend eine Lösung eines ebenso bekannten Drittherstellers einsetzt, hatte ich vorausgesetzt – implizierte & Co. in meiner Antwort. Und ich postuliere auch, dass ihr nicht bei MS Answers aufschlagt, wenn da Probleme auftreten, sondern mit deren Support an der Lösung arbeitet.

          • riedenthied sagt:

            Ja, so wäre es sicher, aber wir setzen nun schon fast 5 Jahre diese Lösung ein (die übrigens die gleiche Engine nutzt wie das bekannte Free-AV-Produkt) und es gab noch nicht ein einziges zerschossenes Windows dadurch. Das Ding läuft ja nicht nur auf 1000 Clients, sondern auch auf knapp 100 Servern und nirgends gab es derartige Probleme, wie du sie zwischen den Zeilen als fast unausweichlich beschreibst, wenn man etwas einsetzt, was nicht von Microsoft kommt. Zumindest auf den Clients darf der Scanner übrigens ohne Nachfrage sofort löschen.

            • Günter Born sagt:

              Ich würde das nicht unbedingt anzweifeln wollen – wenn Du magst, kannst Du mir ja per Feedback-Formular Details zukommen lassen – bin da immer offen.

              Aber: Ich gehe davon aus, dass ihr eine definierte IT-Infrastruktur auf den Clients und Serven habt – das AV-Produkt aktuell ist – es wirklich nur ein Virenscanner ist und die Clients nicht alle auf Windows 10 Enterprise laufen oder die Anwender lustig auf den Systemen machen und installieren dürfen, was sie so mögen. Und jetzt zerstöre bitte mein Weltbild nicht ;-). Ist ja nicht Boshaftigkeit – sondern das, was ich seit 2009 in den Answers-Foren von MS erlebe.

          • riedenthied sagt:

            Ja, hast natürlich mit all diesen Punkten recht. :-)

  4. Paule21 sagt:

    Gibt es vielleicht irgendwo einen Link auf einen praxisnäheren Test, der für den Windows Defender besser ausgeht? Wäre als Argumentationshilfe ganz nützlich, denn wenn ich sage der Defender macht bei realistischeren Test eine besser Figur, bekommt man natürlich gleich den Link auf den letzten AV-Test unter die Nase gehalten und da schneidert er wieder sehr schlecht ab. ;-)

  5. IRON sagt:

    Mittlerweile finde ich in Foren etliche Klagen zu dem Problem. Und da stellt sich dann heraus, dass wohl nicht nur explizit die AV-Lösung von Comodo, sondern auch deren Desktop Firewall dieses Problem verursacht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.