Virusscanners met aangepaste RAR-bestanden te omzeilen

[Captain Kirk]

Een beveiligingslek in verschillende virusscanners zorgt ervoor dat aangepaste RAR-bestanden die malware bevatten niet kunnen worden gescand, maar wel door de gebruiker zijn te openen. Het gaat om virusscanners die de scan-engine van Bitdefender gebruiken, waaronder Bullguard, G Data en Emsisoft.

"De engine is via een speciaal geprepareerd RAR-archief te omzeilen, zodat de eindgebruiker die kan openen, maar niet de antivirussoftware. De engine kan het archief niet scannen en geeft het een "schoon" beoordeling", zegt onderzoeker Thierry Zoller die het probleem ontdekte. Bitdefender heeft inmiddels een beveiligingsupdate uitgebracht. Dat geldt nog niet voor alle andere partijen die van de scan-engine gebruikmaken. Bitdefender stelt dat 38 procent van de beveiligingsoplossingen wereldwijd met de scan-engine van het bedrijf werkt. Zodra de overige antivirusbedrijven het probleem hebben verholpen zal Zoller meer details vrijgeven.

Het is niet de eerste keer dat de onderzoeker een dergelijke kwetsbaarheid in de engine van Bitdefender ontdekt. Via BZIP-bestanden was het eerder ook al mogelijk om de scan-engine te omzeilen. Volgens Zoller kostte het de nodige moeite om Bitdefender die kwetsbaarheid te laten patchen.

 

 

bron: security.nl