{"id":205313,"date":"2018-06-11T10:09:39","date_gmt":"2018-06-11T08:09:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=205313"},"modified":"2022-04-28T23:43:29","modified_gmt":"2022-04-28T21:43:29","slug":"f-secure-sicherheitsupdates-fr-7-zip-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/06\/11\/f-secure-sicherheitsupdates-fr-7-zip-schwachstellen\/","title":{"rendered":"F-Secure Sicherheitsupdates für 7-Zip-Schwachstellen"},"content":{"rendered":"

In mehreren Sicherheitsprodukten des Anbieters F-Secure wurden in \u00e4lteren Versionen Sicherheitsl\u00fccken gefunden. Es geht um Memory Corruption Error-Schwachstellen in fehlerhaften 7-ZIP-Bibliotheken, die eine Remote Code-Ausf\u00fchrung erm\u00f6glichen und als kritisch eingestuft werden. Der Hersteller hat aber bereits Updates bereitgestellt und diese per Auto-Update verteilt. <\/p>\n

<\/p>\n

\"\"Setzt jemand von euch Antivirus- bzw. Sicherheitsprodukte des Anbieters F-Secure ein? Dann solltet ihr \u00fcberpr\u00fcfen, ob diese automatisch aktualisiert wurden. Andernfalls sind die Produkte zu aktualisieren. Das betrifft sowohl die Home- als auch die Enterprise-Varianten unter Windows (Linux und macOS scheinen nicht betroffen). <\/p>\n

Altes Problem: Der 7-Zip-Packer<\/h2>\n

Ich hatte hier im Blog ja h\u00e4ufiger \u00fcber Probleme mit Packbibliotheken in Bezug auf Sicherheitsl\u00fccken berichtet (siehe Link-Liste am Artikelende). F-Secure setzt in seinen Produkten auf Softwarebibliotheken von 7-Zip zum Entpacken von Archiven. Genau in der 7-Zip-Dateiarchivierungssoftware, mit der F-Secure Archive dekomprimiert, nach Bedrohungen durchsucht und die Originaldatei ggf. neu packt, steckt wohl die Schwachstelle in F-Secure-Produkten.<\/p>\n

Durch diverse Bugs in den 7-Zip-Bibliotheken konnten den Entpackern pr\u00e4parierte Archivdateien unterschoben werden. Diese provozierten einen Speicher\u00fcberlauf (Memory Corruption Error), der zur Remote Code Execution ausgenutzt werden konnte. Die kritischen Sicherheitsl\u00fccken CVE-2018-5996 und CVE-2017-17969 waren bereits im Januar 2018 in den 7-Zip-Routinen gefunden und im Landave-Blog ver\u00f6ffentlicht<\/a> worden.<\/p>\n

Ich hatte Ende Januar 2018 im Blog-Beitrag 7-Zip mit Sicherheitsl\u00fccken \u2013 updaten!<\/a> dar\u00fcber berichtet. Damals gab es bereits (auch in den Kommentaren) den Hinweis, dass diese Routinen auch in vielen anderen Produkten steckten. Im Mai 2018 gab es Updates von 7-Zip, um dieser Memory Corruption-Sicherheitsl\u00fccken zu schlie\u00dfen (siehe mein Blog-Beitrag 7-ZIP Version 18.05 ver\u00f6ffentlicht<\/a>). <\/p>\n

Der Betreiber des Landave-Blogs hat sich, kurz nachdem er die Sicherheitsl\u00fccke im Januar 2018 entdeckte<\/a>, auch die Produkte diverser Antivirus-Hersteller vorgenommen, da diese oft 7-Zip-Bibliotheken einsetzen. Dabei stie\u00df er bei F-Secure auf die fehlerhaften Funktionen und hat den Hersteller informiert. <\/p>\n

\n

F-Secure Anti-Virus: Remote Code Execution via Solid RAR Unpacking (RCE as NT AUTHORITY\\SYSTEM ) https:\/\/t.co\/pW57mq1l36<\/a> #antivirus<\/a> #vulnerability<\/a> pic.twitter.com\/ZNV92AyBjF<\/a><\/p>\n

\u2014 x0rz (@x0rz) 5. Juni 2018<\/a><\/p><\/blockquote>\n