Statt Anwender zu schützen eröffnet ein Security-Produkt wieder einmal eine neue Sicherheitslücke.
Andrew Fasano, ein Sicherheitsexperte am MIT Lincoln Lab, hat eine Reihe von Sicherheitslücken in McAfee VirusScan Enterprise for Linux ausgemacht, die sich von Angreifern dafür ausnutzen lasen, eigene Befehle mit Root-Rechten auszuführen. Betroffen sind die Software-Versionen 1.9.2 bis 2.0.2.
Schon im Juni hatte Fasano McAfee respektive Intel, das mittlerweile die Security-Produkte der McAfee-Marke vertreibt, über die Sicherheitslücken informiert. Das Unternehmen bat sich seinerzeit eine Bedenkzeit aus, die sich bis in den Dezember ausdehnte. Zeitgleich mit der Veröffentlichung des potenziellen Hacks durch Fasano hat McAfee jetzt auch ein Security-Advisory herausgegeben, das einen Patch für das betroffene Produkt enthält.
Der Angriff ist über die in McAfee VirusScan Enterprise enthaltene Webanwendung möglich, die insgesamt zehn Sicherheitslücken aufweist, zum Beispiel zu viele Informationen über das System preisgibt (Information Exposure), die über HTTP vermittelten Benutzereingaben nicht richtig prüft (Improper Neutralization of CRLF Sequences in HTTP) und die Umgehung der Authentifizierungstest erlaubt (Authentication Bypass by Spoofing, Authentication Bypass by Assumed-Immutable Data). Weitere Lücken ebnen den Weg zu Root-Rechten und dazu, eigene Files auf dem Virenscanner zu platzieren.
Dass ein Antiviren-Produkt neue Sicherheitslücken eröffnen, ist kein Einzelfall. Im Juni dieses Jahres hat der Sicherheitsexperte Tavis Omandy von Google beispielsweise schwerwiegende Bugs in den Produkten von Symantec und Norton ausfindig gemacht.