Tavis Ormandy hat wieder zugeschlagen. Googles streitbarer Forscher hat gemäß seiner Analyse herausgefunden, dass ein Schädling aus der Emulation des Comodo-Virenwächters ausbrechen kann. Das heißt, er kann während des Scans geheime Schlüssel auslesen und übers Netz verschicken oder als Keylogger agieren. Diese Gefahren sollen durch Updates des Herstellers entschärft werden.

Comodo führt den Code in einer Sandbox aus, um verschlüsselte Schädlinge zu erkennen. Eigentlich sollte innerhalb kein Schaden angerichtet werden können. Systemaufrufe werden dazu idealer Weise überwacht und gefiltert, damit der potenzielle Virus keinen Zugriff auf das Windows-System erhält.

Comodo reicht unglücklicherweise aber viele Funktionen ungefiltert an das System durch. Ormandy gelang es so, einen Schädling zu bauen, der nach einem 10 Minuten Scan alle Tastatureingaben mitprotokollierte und an einen externen Server übertrug. Eine Antiviren-Software als Keylogger.

Der Hersteller hat dieses Problem durch eine Reihe weiterer Updates entschärft, schrieb Ormandy in seinem Bericht: Comodo Antivirus Forwards Emulated API calls to the Real API during scans. Der AV-Hersteller hat jetzt für seine Software Address Space Layout Randomisation (ASLR) aktiviert. Damit soll vor den Folgen von Pufferüberläufen geschützt werden, deren Einsatz seit über sechs Jahren angemahnt wird.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE