ZOO-Files bringen Panda Soft in Bedrängnis

Komprimierte Dateien mit der Endung .zoo sind heute eher die Ausnahme,  können aber an eine Mail angehängt einen Buffer Overflow provozieren.

Komprimierte Dateien mit der Endung .zoo sind heute eher die Ausnahme. An eine Mail angehängt können sie jedoch in der Antiviren-Lösung des spanischen Herstellers Panda Software einen Buffer Overflow provozieren, so der Experte für Sicherheit, Alex Wheeler.

In einem Advisory warnt Wheeler, dass der Angreifer die Kontrolle über ein geschütztes System übernehmen könnte. Das Leck könnte mit Standardprotokollen und vorgegebenen Einstellungen und ohne Zutun des Anwenders ausgenutzt werden.

Aufgrund des modularen Aufbaus der Software könnte es durchaus sein, so Wheeler, dass beinahe das gesamte Portfolio des Herstellers betroffen ist. Darunter der Gateway Server sowie Produkte, die auf dem Client Antivirus basieren. Zudem könnten auch Lösungen anderer Hersteller betroffen sein, die die Technologie von Panda lizenziert haben.

Das Leck ist in ‘pskcmp.dll’. Dabei werde der Heap Memory mit beliebigen Daten überschrieben, wobei das Empfangen einer Mail mit einem manipulierten ZOO-Archiv bereits ausreiche, damit der Angreifer die Kontrolle über den Prozess übernehmen kann. Anwender der Panda-Technologie sollten daher – bis ein Patch für das Problem verfügbar ist – Mails mit ZOO-Archiven ausfiltern.

Panda hat inzwischen das Leck bestätigt. “Die spanischen Teams haben das Problem nachgestellt”, erklärte Markus Mertes, Leiter Presse und Marketing bei Panda Deutschland, im Gespräch mit silicon.de. Das Unternehmen arbeite mit Hochdruck an einer Lösung. Wann diese verfügbar sein werde, konnte Mertes nicht mitteilen.

Offenbar hatte Wheeler sich im Vorfeld der Veröffentlichung nicht mit dem Unternehmen verständigt. “Wir wurden nicht informiert und waren überrascht”, sagte Mertes. Bislang seien aber noch keine erfolgreichen Angriffe bekannt geworden, die diese Schwachstelle ausnutzen. Anwender der Sicherheitslösungen bekämen das entsprechende Update aber automatisch überspielt.