VulDB: Sophos Anti-Virus bis 5.x CPIO Archive Handler Pufferüberlauf
Allgemein
scipID: 2741
Betroffen: Sophos Anti-Virus bis 5.x
Veröffentlicht: 13.12.2006
Risiko: 
kritisch
Eintrag: 85.2% komplett
Erstellt: 15.12.2006
Aktualisiert: 03.09.2012
Beschreibung
Sophos ist einer der bekannten Hersteller von Antiviren-Lösungen. Eine anonyme Person hat über die Zero Day Initiative (ZDI) zwei Schwachstellen in den Versionen bis 5.x publiziert. Effektiv davon betroffen ist die Datei veex.dll der Scanning-Engines bis 2.40. So sei es mitunter möglich, dass über ein korruptes CPIO-Archiv ein stack-basierter Pufferüberlauf ausgeführt werden kann. Dazu ist ein langer Dateiname, der mit einem Nullbyte abgeschlossen wird, erforderlich. Weitere Details oder ein Exploit sind nicht bekannt. Sophos wurde im September über das Problem informiert, so dass sich frühzeitig um eine Gegenmassnahme gekümmert werden konnte. Zusammen mit dem Erscheinen der Advisories ist sodann auch eine aktualisierte Version der Scanning-Engine erschienen. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von Secunia (SA23325) dokumentiert.
Probleme bei der Verarbeitung korrupter Dateien und vor allem Archiven ist nichts neues. Es scheint, als müssten die Entwickler von Antiviren-Lösungen in der Hinsicht von weit mehr defensiver programmieren. Es ist nur eine Frage der Zeit, bis aktuelle Schädlinge, vor allem Mail-Viren, die Schwachstelle für sich ausnutzen wollen. Das Umsetzen von Gegenmassnahmen ist deshalb dringendst zu empfehlen.
CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Upgrade
0-Day Time: 0 Tage seit gefunden
Patch: sophos.com
Timeline
06.12.2006 | CVE zugewiesen
13.12.2006 | Advisory veröffentlicht
15.12.2006 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: zerodayinitiative.com
Person: http://www.zerodayinitiative.com
Firma: ZDI
CVE: CVE-2006-6335 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 23325
- Letzte Einträge
- Apple iOS Mobile Hotspot generateDefaultPassword() schwache Authentisierung
- Cisco ASA CX TCP Packet Handler Denial of Service [CVE-2013-1203]
- Microsoft Outlook S/MIME Handler schwache Verschlüsselung
- Google Android Input Validation Handler Information Disclosure
- Fortinet FortiOS Permission Handler schwache Authentisierung
- Statistiken
- Archiv
