Total Security - totalsecurity.com.br
Bugs
Quarta - 21 de Janeiro de 2004 às 08:50
Por: Birkoff

    Imprimir


Em produtos de vários anti-vírus de fabricantes conhecidos foi encontrada uma falha de programação que pode permitir o travamento de um computador. Produtos da Network Associates, Trend Micro, Kaspersky Lab e Amavis estão afetados, de acordo com um alerta da empresa de segurança alemã AERAsec.

Os softwares anti-vírus possuem uma rotina interna de descompressão de arquivos para permitir a análise em busca de vírus em arquivos compactados. A AERAsec reportou que as rotinas de descompressão dos softwares das empresas citadas não parecem conseguir manejar adequadamente arquivos conhecidos como bzip2-bombs, ou bombas bzip2, já conhecidos a algum tempo. Estes arquivos consistem em arquivos com uma grande repetição do mesmo caractere, de forma que, segundo o boletim da AERAsec, um arquivo de 1,5kB pode ter ao ser descomprimido 2Gb.

O problema é que os antívirus aparentemente trabalham com limites de níveis de diretório, mas não controlam tamanho do arquivo nem tem algum código para detecção de situações anômalas.

Isto pode levar a várias consequências, resultando em um ataque de negação de serviço no anti-vírus. Já que a maioria dos softwares antivírus armazenam os arquivos descomprimidos no sistema de arquivos locais (por exemplo, em /tmp), pode ocorrer preenchimento do espaço livre em disco, cuja consequência direta é o travamento do processo de escaneamento do anti-virus e até mesmo o travemento do sistema. Além disso, durante o processo de descompressão e análise desse tipo de arquivo, ocorre um uso muito alto da CPU o que leva o computador a ficar lento ou até mesmo travar.

Abaixo está uma lista dos softwares identificados como vulneráveis até hoje, 21/01/2003, pela AERAsec. Mais softwares e versões estão sendo analisados:
- kavscanner do Kaspersky AntiVirus para Linux 5.0.1.0 (provavelmente todas versões desde a 4.0.3.0)
- vscan do Trend Micro InterScan VirusWall 3.8 Build 1130 (provavelmente outras versões também)
- uvscan do McAfee Virus Scan para Linux v4.16.0 (probably other versions, too)
- AMaViS 0.2.x/0.3.x, amavisd anteriores ao amavisd-new-20021116, amavis-ng

As empresas tem liberado alguns patches e alertas. Você pode acompanhar o desenrolar da busca de soluções (e de mais versões e softwares vulneráveis) no alerta oficial da AERAsec, aqui (em inglês). Além disso, os seguintes links de algumas das empressas afetadas também podem ser consultados:

- Trend Micro, Correção 18198 - Sobre a falha no InterScan Viruswall for Unix (ISUX)
-
Trend Micro, Correção 18200 - Solução para VirusWall for NT (ISNT) 3.53
-
Trend Micro, Correção 18219 - Solução para InterScan VirusWall for UNIX (ISUX) 3.6 CSP edition
-
Amavis - Alerta da Amavis Team




Fonte: Eu escrevi

Comentários

Deixe seu Comentário

URL Fonte: https://totalsecurity.com.br/noticia/383/visualizar/