Comodo dicht ernstige lekken in virusscanner

[Captain Kirk]

Comodo heeft meerdere ernstige lekken in de eigen virusscanner gedicht waardoor een aanvaller zonder interactie van gebruikers systemen kon aanvallen en wachtwoorden, toetsaanslagen, encryptiesleutels en bijvoorbeeld informatie van smartcards kon stelen.

De problemen werden door Google-onderzoeker Tavis Ormandy ontdekt en bevonden zich in de emulator van Comodo Antivirus. De emulator wordt gebruikt om geobfusceerde uitvoerbare bestanden uit te pakken en binnen de emulator uit te voeren. Op deze manier kan worden gekeken of een binnengekomen bestand kwaadaardig is. De emulator maakt het echter mogelijk voor een aanvaller om de Win32-programmeerinterface van Windows te benaderen. Vervolgens zijn er allerlei aanvallen mogelijk, aldus Ormandy. Zo kunnen toetsaanslagen worden gemonitord en teruggestuurd.

Ook is een aanval op afstand mogelijk die tot een buffer overflow leidt, waardoor een aanvaller willekeurige code kan uitvoeren, zonder dat hiervoor enige interactie van een gebruiker is vereist. De emulator wordt namelijk geactiveerd als er bijvoorbeeld e-mails worden ontvangen of websites worden bezocht. Door bijvoorbeeld een zip-bstand te versturen zal de virusscanner die scannen, waardoor de aanval kan worden uitgevoerd. Ormandy had eerder ook al beveiligingsproblemen in de Chromodo-browser van Comodo gevonden, alsmede in de producten van AVG, Sophos, ESET, Kaspersky Lab, Avast, Malwarebytes en Trend Micro.

 

bron: security.nl