%PDF-<\/em> und kann dadurch ggf. identifiziert werden. <\/p>\nDie AVAST-Scan-Engine versucht \u00fcber das Modul algo nicht nur einen solchen Magic Number-String zu finden, sondern sucht nach weiteren Instanzen. Hintergrund ist wohl, dass man getarnte Sch\u00e4dlinge, dies ich in anderen Dateiformaten verbergen, aufsp\u00fcren will (und z.B. in einem RAR-Archiv enthaltene weitere Dateien identifizieren muss). <\/p>\n
F\u00fcr jede gefundene Magic Number wird dann eine Datenstruktur erzeugt und auf dem Stack abgelegt. Nun ist der Autor des Blog-Beitrags auf die Idee gekommen, eine Datei mit einer Folge von diversen Magic Numbers zu erstellen und von AVAST scannen zu lassen. Er hat schlicht so etwas:<\/p>\n
Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar! Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!%PDF-%PDF-%PDF-%PDF-%PDF-<\/p>\n
in die Datei geschrieben, um einen Stack-Buffer-\u00dcberlauf zu provozieren. Und prompt bekam er diesen geliefert. Ab dieser Stelle wird es f\u00fcr Angreifer interessant. Gelingt es ihm, diesen Stack-Bereich zu \u00fcberschreiben, erlangt er die Kontrolle \u00fcber den Scanner. Die Sicherheitsl\u00fccke lie\u00dfe sich Remote, durch einen entsprechend pr\u00e4parierten E-Mail-Anhang triggern. <\/p>\n
Gefunden wurde der Bug bereits am 23. September 2016 und an AVAST gemeldet. Der Bug wurde best\u00e4tigt und ein Update wurde von AVAST bereits am 29. September 2016 ausgerollt. Die aktuellen AVAST-Versionen sind also nicht mehr angreifbar. Der Fall zeigt aber erneut, dass der Teufel im Details sitzt. (via)<\/p>\n","protected":false},"excerpt":{"rendered":"
Der Virenscanner von AVAST enthielt eine Schwachstelle, \u00fcber die Schadsoftware einen Stack Buffer Overflow per 'Magic Numbers' ausl\u00f6sen konnte. Diese Sicherheitsl\u00fccke ist zwischenzeitlich per Update geschlossen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[2820,1782,4313],"class_list":["post-191829","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-avast","tag-sicherheitslucke","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191829","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=191829"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191829\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=191829"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=191829"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=191829"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Der Virenscanner von AVAST enthielt eine Schwachstelle, \u00fcber die Schadsoftware einen Stack Buffer Overflow per 'Magic Numbers' ausl\u00f6sen konnte. Diese Sicherheitsl\u00fccke ist zwischenzeitlich per Update geschlossen.<\/p>\n