Tavis Ormandy findet Sicherheitslücken in Sophos Anti-Virus-Produkten

  • Artikel-ID: 118424
  • Aktualisiert: 20 Dez 2013

Sophos verbessert die Schutzmechanismen seiner Software stets mit regelmäßigen Updates. Es empfiehlt sich, stets auf die aktuelle Produktversion upzugraden, um vom besten Schutz zu profitieren.

Als Sicherheitsunternehmen ist die Absicherung unserer Kunden unsere Hauptaufgabe. Die Verbesserung des Schutzes und der Produktsicherheit hat höchste Priorität: Daher arbeiten wir auch mit unabhängigen Sicherheitsforschern zusammen.

Im vorliegenden Fall hat Sophos mit Tavis Ormandy zusammengearbeitet, der uns eine Reihe von Sicherheitslücken gemeldet hat, die er bei der Untersuchung unseres Endpoint-Produkts gefunden hat.

Betrifft die folgenden Sophos Produkte/Versionen
Je nach Sicherheitslücke Details hierzu entnehmen Sie bitte den Tabellen unten. 

Sophos setzt sich für die verantwortungsbewusste Veröffentlichung von Sicherheitslücken ein. Wir sind Tavis Ormandy und anderen Sicherheitsanalysten für ihre Unterstützung bei der Verbesserung der Robustheit und Sicherheit unserer Produkte dankbar.  Folgende Sicherheitslücken wurden von ihm gemeldet:

  1. Ganzzahlüberlauf bei der Analyse von Visual Basic 6-Steuerelementen
  2. sophos_detoured_x64.dll-ASLR-Umgehung
  3. Der gesicherte Modus in Internet Explorer wird von Sophos deaktiviert
  4. Universal XSS
  5. Sicherheitslücke in Zusammenhang mit Speicherbeschädigung in Microsoft CAB-Parser
  6. Speicherbeschädigung bei virtuellen RAR-System mit Standardfiltern
  7. Erhöhung von Rechten durch den Netzwerk-Update-Dienst
  8. Stapelpufferüberlauf beim Entschlüsseln von PDF-Dateien

Ormandy hat Beispiele für andere speziell gestaltete Dateien vorgelegt (ohne zugehörige Sicherheitslücken), aufgrund derer die Sophos Anti-Virus Engine ungewöhnliches Verhalten beim Scannen zeigen kann. Eine neue Version der Anti-Virus-Engine, die diese Dateien besser verarbeiten kann, wird am 28. November 2012 an Sophos Kunden verteilt.

Für Benutzer unserer Sophos Gateway Sicherheitsprodukte (d.h. PureMessage für UNIX, Sophos UTM oder die Web-/Email Appliance) haben wir Sophos Anti-Virus 4.83 veröffentlicht, um die relevanten Sicherheitslücken beheben. Nähere Anweisungen entnehmen Sie bitte dem Support-Artikel 118522.

Empfohlene Produktversionen

In der Tabelle unten können Sie sich über die empfohlene Mindestproduktversion informieren.  Dadurch werden nicht nur die oben erwähnten Sicherheitslücken behoben, sondern Sie profitieren zudem von bestem Schutz.

Plattform Empfohlenes Produkt
Windows 2000+ 10.2.1 / 10.0.9 / 9.7.8 / 9.5.7
Mac OS X 8.0.8
Verwaltete Version von Linux/UNIX 9 9.0.0
Verwaltete Version von Linux/UNIX 7
7.5.11
Nicht verwaltete Version von Linux/UNIX 4.83.0

*Wenn Sie Sophos Anti-Virus für Windows 10.0.9 nutzen, verfügen Sie bereits über sämtliche Patches. Lediglich das Problem mit dem geschützten Modus im Internet Explorer besteht weiterhin und wird Anfang Dezember in Sophos Anti-Virus für Windows 10.0.10 behoben.
‡Pakete der Version 9.x befinden sich in der erweiterten Wartungsphase. Der stufenweise Roll-Out soll planmäßig im Dezember stattfinden.

Wenn Sie ein Gateway-Produkt nutzen, sollten Sie überprüfen, ob die Engine-Version mit folgenden Empfehlungen übereinstimmt.

Plattform Version
Sophos Web Appliance 2012.11.8.4830003
Sophos Email Appliance 483000.0.20121108.1256
Sophos UTM 4.83.0
PureMessage für UNIX 4.83.0

Ich kann kein Upgrade auf die empfohlene Version durchführen – was ist zu tun?

Wenn Sie über Computer mit Windows 2000/XP/2003/Vista/7/2008/2008 R2/8 verfügen und kein Upgrade auf die empfohlene Version durchführen können, wenden Sie sich bitte an den technischen Support oder Ihren Account Manager.

Wie kann ich ein Upgrade auf die empfohlene Version durchführen?

Stellen Sie sicher, dass im Sophos Update Manager das Softwarepaket mit der Bezeichnung "Recommended" abonniert wurde. Nähere Informationen entnehmen Sie bitte unserem Support-Artikel: Verwalten von Software-Abonnements in Enterprise Console.


Details der Sicherheitslücken

Ganzzahlüberlauf bei der Analyse von Visual Basic 6-Steuerelementen
Beschreibung: Eine Sicherheitslücke, die Remotecodeausführung ermöglichen kann, liegt in der Art und Weise vor, wie die Sophos Anti-Virus-Engine nicht wohl geformte, mit Visual Basic 6 kompilierte Dateien scannt. Ausführbare Dateien von Visual Basic 6 umfassen Metadaten zu GUID, Name, Pfad usw. Sophos Anti-Virus extrahiert einige dieser Daten aus ausführbaren VB6-Dateien. Der Validierungscode zu diesen Metadaten verarbeitet Ganzzahlüberläufe nicht ordnungsgemäß. Dies kann zu Stapelüberlauf-Exploits führen.
Betroffene(s) Produkt(e) Threat Detection Engine 3.35.1 und früher
Behoben in Threat Detection Engine 3.36.2 und
Anti-Virus für Unix 4.82
Gemeldet am: 10. September 2012
Tage bis zur Veröffentlichung des Patches: 42
Verteilung des Patches abgeschlossen am: 22. Oktober 2012
Liegen Hinweise auf eine Ausnutzung der Sicherheitslücke vor? Nein


sophos_detoured_x64.dll-ASLR-Umgehung
Beschreibung: Problem mit der BOPS-Technologie von Sophos Anti-Virus für Windows und der Interaktion mit ASLR (Address Space Layout Randomisation) unter Windows Vista und höher. Für Sophos BOPS müssen die meisten Prozesse die DLL-Datei "Sophos_detoured" auf 32 Bit-/64-Bit-Systemen laden. Da die Datei jedoch ASLR nicht verwendete, wurde sie unter einer statischen Adresse geladen. So wurde die Verwendung von ASLR in anderen Produktbereichen umgangen und die Exploit-Wahrscheinlichkeit erhöht sich.
Betroffene(s) Produkt(e) Anti-Virus 9.x (bei der Ausführung unter Windows Vista und höher)
Anti-Virus 10.x (bei der Ausführung unter Windows Vista und höher)
Behoben in Anti-Virus 10.2.0
Anti-Virus 10.0.9
Anti-Virus 9.7.8
Anti-Virus 9.5.7
Gemeldet am: 10. September 2012
Tage bis zur Veröffentlichung des Patches: 42
Verteilung des Patches abgeschlossen am: 22. Oktober 2012
Liegen Hinweise auf eine Ausnutzung der Sicherheitslücke vor? Nein


Der gesicherte Modus in Internet Explorer wird von Sophos deaktiviert
Beschreibung: Problem in der Interaktion des Sophos Schutzes mit dem geschützten Modus von Internet Explorer – Sophos installiert einen LSP (Layered Service Provider) in Internet Explorer, der DLL-Dateien aus Verzeichnissen mit Schreibzugriff geladen hat. Dadurch wurde der geschützte Modus von Internet Explorer im Grunde deaktiviert, da vertrauenswürdige DLLs abgeändert oder ausgetauscht und dennoch von Internet Explorer ausgeführt werden könnten.
Betroffene(s) Produkt(e) Anti-Virus 10.x
Behoben in Anti-Virus 10.2.1
Anti-Virus 10.0.10
Gemeldet am: 10. September 2012
Tage bis zur Veröffentlichung des Patches: 56
Verteilung des Patches gestartet am: 5. November 5 2012 für 10.2.1
Anfang Dezember für 10.0.10
Liegen Hinweise auf eine Ausnutzung der Sicherheitslücke vor? Nein


Universal XSS
Beschreibung: Auf der Blockierseite des LSPs des Web-Schutzes und der Web Control-Funktion von Sophos wurde ein Fehler festgestellt, der sich mit speziell gestalteten Websites zum Ausführen von in die URL-Query-Tags eingebettetem Java-Code ausführen lässt.
Betroffene(s) Produkt(e) Anti-Virus 10.x
Behoben in Anti-Virus 10.0.9
Anti-Virus 10.2.0
Gemeldet am: 10. September 2012
Tage bis zur Veröffentlichung des Patches: 42
Verteilung des Patches abgeschlossen am: 22. Oktober 2012
Liegen Hinweise auf eine Ausnutzung der Sicherheitslücke vor? Nein


Sicherheitslücke in Zusammenhang mit Speicherbeschädigung in Microsoft CAB-Parser
Beschreibung: Sicherheitslücke in der Art und Weise, in der Sophos Anti-Virus speziell gestaltete CAB-Dateien verarbeitet. Dies kann zu Speicherbeschädigung der Engine führen. Es liegt ein Fehler in der Art und Weise vor, in der der Komprimierungsalgorithmus für die CF-Ordnerstruktur angegeben wird. Aufgrund des Fehlers wird die Bereichsprüfung der Datengröße der Eingabe übersprungen und es kommt zu Pufferüberläufen.
Betroffene(s) Produkt(e) Threat Detection Engine 3.35.1 und früher
Behoben in Threat Detection Engine 3.36.2
Anti-Virus für Unix 4.82
Gemeldet am: 10. September 2012
Tage bis zur Veröffentlichung des Patches: 42
Verteilung des Patches abgeschlossen am: 22. Oktober 2012
Liegen Hinweise auf eine Ausnutzung der Sicherheitslücke vor? Nein


Speicherbeschädigung bei virtuellen RAR-System mit Standardfiltern
Beschreibung: Sicherheitslücke in der Verarbeitung speziell gestalteter RAR-Dateien durch die Sophos Anti-Virus-Engine, die Speicherbeschädigung auslösen konnte – RAR-Dekomprimierung umfasst ein virtuelles System, das Byte-Code interpretiert. Der opcode "VM_STANDARD" verwendet einen Filter als Operanden. Die Filter wurden nicht ordnungsgemäß verarbeitet.
Betroffene(s) Produkt(e) Threat Detection Engine 3.36.2 und früher
Behoben in Threat Detection Engine 3.37.2
Threat Detection Engine 3.37.10 (in Anti-Virus für Mac OS X 8.08)
Threat Detection Engine 3.37.20 (in Anti-Virus für Linux 9)
Anti-Virus für Unix 4.83
Gemeldet am: 10. September 2012
Tage bis zur Veröffentlichung des Patches: 56
Verteilung des Patches gestartet am: 5. November 2012
Liegen Hinweise auf eine Ausnutzung der Sicherheitslücke vor? Nein


Erhöhung von Rechten durch den Netzwerk-Update-Dienst
Beschreibung: Mangelnde Zugriffssteuerung am Sophos Update-Verzeichnis, was dazu führen konnte, dass beliebige Benutzer ihre eigenen Dateien einfügen und ausführen konnten – der Sophos Netzwerk-Update-Dienst umfasst NT AUTHORITY\SYSTEM-Rechte. Der Dienst lädt Module aus einem Verzeichnis, das über Schreibzugriff und keine speziellen Rechte verfügte. Speziell gestaltete DLL-Dateien konnten in einem für alle beschreibbaren Verzeichnis abgelegt und mit Systemrechten vom Update-Dienst geladen werden.
Betroffene(s) Produkt(e) Anti-Virus 9.x
Anti-Virus 10.0.3
Behoben in Anti-Virus 9.5.6
Anti-Virus 9.7.7
Anti-Virus 10.0.4+
Gemeldet am: 15. März 2012
Tage bis zur Veröffentlichung des Patches: 54
Verteilung des Patches abgeschlossen am: 8. Mai 2012
Liegen Hinweise auf eine Ausnutzung der Sicherheitslücke vor? Nein


Stapelpufferüberlauf beim Entschlüsseln von PDF-Dateien
Beschreibung: Eine Sicherheitslücke, die Remotecodeausführung ermöglichen kann, liegt in der Art und Weise vor, in der die Sophos Anti-Virus-Engine PDF-Dateien mit Revision 3 entschlüsselt, indem der Inhalt des Verschlüsselungsschlüssel auf einen Stapelpuffer mit einer festen Länge von 5 Byte gelesen wird. Eine speziell gestaltete PDF-Datei mit einem größeren Längenattribut als "5^8" hätte zu einem Pufferüberlauf geführt.
Betroffene(s) Produkt(e) Threat Detection Engine 3.36.2 und früher
Behoben in Threat Detection Engine 3.37.2
Threat Detection Engine 3.37.10 (in Anti-Virus für Mac OS X 8.08)
Threat Detection Engine 3.37.20 (in Anti-Virus für Linux 9)
Anti-Virus für Unix 4.83
Gemeldet am: 5. Oktober 2012
Tage bis zur Veröffentlichung des Patches: 31
Verteilung des Patches gestartet am: 5. November 2012
Liegen Hinweise auf eine Ausnutzung der Sicherheitslücke vor? Nein


 
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.

Artikel bewerten

Ungenügend Hervorragend

Anmerkungen