-
Der Antivirus-Hersteller Kaspersky Labs hat eine Web-basierten Virenscanner entwickelt. Dieser soll es ermöglichen, den PC nach Viren und anderen Schädlingen zu scannen, ohne eine Antivirus-Software installieren zu müssen. Die Lösung basiert auf der ActiveX-Technologie des Internet Explorers und steht daher nur Windows-Anwendern zur Verfügung. Benutzer anderer Betriebssysteme können die von Kaspersky schon länger angebotene Möglichkeit nutzen, einzelne Dateien via Browser zur Überprüfung an Kaspersky zu übertragen .
Das Angebot einer kostenlosen Virenprüfung über ein ActiveX-Modul gibt es bereits seit Jahren von mehreren anderen Antivirus-Herstellern, so etwa von Symantec, McAfee und Bitdefender. Der nun angelaufene Beta-Test von Kasperskys Pendant muss zeigen, ob sich der russische Hersteller durch interessante Features vom Mitbewerb absetzen kann.
Allen Online-Scannern dieser Art gemeinsam ist, dass man damit im Grunde durchaus einen Virenscanner installiert und auch bei jeder Nutzung Updates herunter geladen werden. Ein permanenter Virenschutz eines PCs ist auf diese Weise aber nicht möglich. Ein Online-Scan kann stets nur eine Momentaufnahme liefern und eignet sich daher eher als zweite Meinung, falls man den Eindruck hat, der installierte Virenschutz habe womöglich einen Schädling übersehen. Wer lieber mit Mozilla, Firefox oder anderen Browsern surft, kann bei Trend Micro einen Java-basierten Online-Scanner namens " Housecall " nutzen.
Quelle und Links : http://www.pcwelt.de/news/sicherheit/109482/index.html
-
Ausnutzung alter Windows-Sicherheitslücke befürchtet
Ein Mitarbeiter des Antiviren-Hersteller Kaspersky Labs berichtet, dass neue Varianten eines Trojanischen Pferdes gesichtet wurden, das sich über ein längst geschlossenes JPEG-Sicherheitsloch in Windows verbreitet. In Kürze könnte daher die Gefahr bestehen, dass sich entsprechende JPEG-Schädlinge im Internet verbreiten.
Die ersten Generationen des neu entdeckten Trojanischen Pferdes hätten noch Fehlfunktionen aufgewiesen, berichtet Costin Raiu, der Leiter der Entwicklungs- und Forschungsabteilung von Kaspersky Labs Rumänien, gegenüber ZDNet.co.uk. Raiu befürchtet jedoch, dass ein funktionsfähiger Schädling bereits in Kürze im Internet wüten könnte.
Das Trojanische Pferd nutzt eine im September 2004 bekannt gewordene Sicherheitslücke in Windows, für die bereits ein Patch zur Verfügung steht. Kurz nach Bekanntwerden des Sicherheitslochs wurde bereits eine Wurm-Welle erwartet, bei der das JPEG-Sicherheitsleck ausgenutzt wird. Bislang blieb es allerdings bei den Befürchtungen, ohne dass eine Schädlingswelle durch das Internet fegte.
Quelle : www.golem.de
-
Durch einen Fehler in Kasperskys "Anti-Virus for Unix/Linux File Servers" kann ein angemeldeter Nutzer mit eingeschränkten Zugriffsrechten seine Rechte erweitern oder das System unbrauchbar machen. Ursache des Problems sind falsch gesetzte Rechte (777) auf das vom Scanner benutzte Log-Verzeichnis /var/log/kav/5.5/kav4unix/.
Damit lassen sich nach Angaben des Sicherheitsdienstleisters AERAsec Symlink-Attacken durchführen, um mit Root-Privilegien Dateien zu erzeugen oder etwa vorhandene Systemdateien zu überschreiben. Dazu genügt es, die Log-Datei zu entfernen und durch einen symbolischen Link zu ersetzen -- etwa auf /etc/passwd. Betroffen ist Version 5.5-2, wahrscheinlich auch vorhergehende. Kaspersky hat das Problem in Version 5.5-3 beseitigt.
Quelle und Links : http://www.heise.de/newsticker/meldung/62808
-
Kasperskys Antivirus-Produkte verschlucken sich womöglich an speziell präparierten CAB-Dateien und führen eingeschleusten Code aus. Das berichtet Alex Wheeler, der ähnliche Heap Overflows auch schon in anderen Antiviren-Produkten gefunden hatte. Laut Wheeler betrifft der Fehler eine spezielle Bibliothek, die nicht nur in Kaspersky-eigenen Programmen, sondern auch diversen OEM-Produkten eingesetzt werden dürfte. Im Advisory nennt Wheeler die Version 5.0.20.0. Updates sind bislang keine verfügbar.
* Kaspersky Antivirus Library RemØte Heap Overflow Security
* Advisory von Alex Wheeler
Quelle und Links : http://www.heise.de/newsticker/meldung/64527
-
Die Antiviren-Engine von Kaspersky, häufig im Einsatz in Linux-Gateway-Servern oder auch in Dritthersteller-Antivirenscannern für Windows, patzt beim Verarbeiten von manipulierten CHM-Dateien: Durch einen Heap-basierten Pufferüberlauf ließe sich dadurch eingeschmuggelter Code ausführen. Über die von iDefense gemeldete Lücke könnte sich ein Angreifer ohne Nutzerinteraktion Zugriff auf das Linux-System verschaffen -- beispielsweise über präparierte E-Mail-Attachments, die serverseitig gescannt werden.
Unter Windows lässt sich über den Fehler scheinbar kein Code einschleusen, jedoch verweigern die Scanner nach Überprüfung einer defekten CHM-Datei weitere Scanvorgänge. Dadurch könnte weiterer Schadcode unbemerkt auf das System gelangen.
Betroffen sind die Versionen Kaspersky Personal 5.0.227, Kaspersky Anti-Virus On-Demand Scanner für Linux 5.0.5 und F-Secure Anti-Virus für Linux 4.50 sowie womöglich alle Produkte, die die Kaspersky-Engine einsetzen. Kaspersky Labs konnten den Fehler mit aktualisierten Signaturen beheben. Wer seinen Virenscanner also seit mehreren Wochen nicht aktualisiert hat, sollte dies jetzt schleunigst nachholen.
Siehe dazu auch:
* Security Advisory von iDefense
* Lücke in Kasperskys Antivirus-Bibliothek -- vor einer Woche gemeldeter Fehler beim Verarbeiten von CAB-Archiven
Quelle und Links : http://www.heise.de/security/news/meldung/64769
-
Das Antivirenunternehmen Kaspersky Labs hebt seine Virenscanner und Internet-Security-Suite in Version 6.0 aus der Taufe. Wesentliche Neuerung ist die Integration einer Behavioural-Blocking-Engine, die Anwendungen zur Laufzeit überwacht und kritische Aktivitäten zu unterbinden versucht.
Ähnlich wie bei Pandas TruPrevent oder ZoneLabs Application-Firewall bewertet der proaktive Schutz Anwendungsaktivitäten wie die Installation von Treibern, dem Anlegen von Autostart-Registryschlüsseln oder die Anforderung von Netzwerks-Sockets. Ab einem gewissen Schwellenwert schlägt die Engine Alarm und versucht, die schädlichen Funktionen des Programms zu stoppen. Damit sollen noch unbekannte Schädlinge erkannt und unschädlich gemacht werden.
Die Internet-Security-Suite vereint in der neuen Ausführung alle Komponenten wie Antivirus für Dateien, Mails und Webseiten sowie Antispy, Antihacker und Antispam unter einer Oberfläche. In älteren Versionen war Kasperskys Internet Security ein simple Tool-Sammlung aus Antivirus und Antihacker ohne einheitliche Produktintegration.
Die Einzelplatzlizenz inklusive einem Jahr Updates und Support von Kaspersky Antivirus 6.0 kostet 30 Euro, die Internet Security 6.0 ist für 40 Euro erhältlich. Eine 3-Platz-Lizenz von Internet Security für Kleinunternehmen oder Heimnetzwerke soll mit 60 Euro zu Buche schlagen. Die neuen Programmversionen sind ab sofort im Handel verfügbar.
Siehe dazu auch:
* Produktankündigung von Kaspersky
Quelle und Links : http://www.heise.de/newsticker/meldung/73156
-
iDefense hat eine Lücke in Treibern von Kasperskys Antivirenlösung gemeldet, mit der ein am System angemeldeter, nicht privilegierter Anwender seine Zugriffsrechte ausweiten kann. Ursache des Problems sind die Treiber KLIN.SYS und KLICK.SYS, die beim Aufruf von Funktionen für I/O-Control die angegebenen Adressen nicht kontrollieren. Ein Angreifer kann nach Angaben von iDefense diese Adressen manipulieren, eigene Codesegmente in den Speicher schreiben und mit Systemrechten starten. Fast die gleiche Lücke in IOCTL entdeckte iDefense bereits kürzlich in Produkten von Symantec.
Betroffen sind die Treiber in der Version 2.0.0.281, wie sie in der Kaspersky Labs Anti-Virus Version 6.0.0.303 enthalten sind. Kaspersky hat den Fehler in den Treiberversionen 2.0.0.333 behoben, die über den Update-Service bezogen werden können.
Siehe dazu auch:
* Kaspersky Labs Anti-Virus IOCTL Local Privilege Escalation Vulnerability, Fehlerbericht von iDefense
Quelle und Links : http://www.heise.de/security/news/meldung/79774
-
Der Sicherheitsdienstleister iDefense meldet einen Fehler des Kaspersky-Virenscanners, der sich zu Denial-of-Service-Angriffen ausnutzen lässt. Ausführbare Windows-Dateien mit einem speziell präparierten PE-Header schicken den Scanner in eine Endlosschleife. Betroffen sind folgende Versionen der Kaspersky Antivirus Engine: 6.0 für Windows, 5.5-10 für Linux und eventuell auch ältere. Bereits seit dem 2. Januar hat Kaspersky automatisiert Updates verteilt, die dieses Problem beseitigen sollen. Weitere spezielle Patches sind laut Kaspersky nicht nötig.
Siehe dazu auch:
* Security Advisory von iDefense
Quelle und Links : http://www.heise.de/security/news/meldung/83270
-
Passend zum Vistastart haben die Experten des Sicherheitsunternehmens Kaspersky Lab die neuen Sicherheitsfunktionen von Vista - wie User Account Control (UAC), Kernelschutz von Vista, Driver Signing und Protected Mode des Internet Explorer 7 - kritisch unter die Lupe genommen. Ihr Fazit: Vista ist sicherer als die vorhergehenden Systeme von Microsoft, aber…
Gestern haben wir darüber berichtet , wie das Sicherheitsunternehmen Webroot die Sicherheitsfunktionen von Microsoft kritisiert. Allerdings ging Webroot bei seinen Äußerungen nicht ins Detail, Webroots Kritik las sich fast wie Werbung für die Schutzsoftware des Sicherheitsunternehmens.
Jetzt hat auch Kaspersky Lab eine öffentliche Analyse zu den Sicherheitsmechanismen vorgelegt. Konkret nahmen sich die Experten die User Account Control, den Kernelschutz von Vista, Driver Signing und den Protected Mode des Internet Explorers 7 zur Brust. Wir fassen die Ergebnisse dieser Analyse zusammen.
User Account Control (UAC) ist bekanntlich ein Feature zur Kontrolle der Benutzerrechte. Jeder Benutzer verfügt standardmäßig über reduzierte Rechte. Versucht man eine Aktion auszuführen, für die man keine Rechte besitzt, so verlangt das System eine Bestätigung durch den Benutzer (wenn dieser den Status "Administrator" hat) oder die Eingabe des Administrator-Passworts (wenn es sich um einen "Standardanwender" handelt). Davon sind beispielsweise Aktionen wie die Installation von Anwendungen und Treibern, das Hinzufügen von Dateien in den Systemverzeichnissen sowie Änderungen in der Systemkonfiguration betroffen. UAC dürfte deshalb von vielen Anwendern als ausgesprochen nervig empfunden werden und diese dazu verleiten, diese Funktion in der Systemsteuerung von Vista einfach abzuschalten. Zumal es sich bei vielen solchen durch die UAC erschwerten Aktionen um völlig legale Maßnahmen handelt.
Deshalb bewertet Kaspersky Lab die UAC als "nicht ernstzunehmenden Schutz vor Schadprogrammen". Und weiter: "Eine Funktion, die an den Nerven des Anwenders zerrt, wird mit großer Wahrscheinlichkeit abgeschaltet werden. Oder aber der Nutzer erlaubt die fragliche Aktion, ohne den Inhalt der Mitteilung überhaupt zu beachten."
Nur für Anwender mit Administratorrechten will Kaspersky Lab einen Gewinn an Sicherheit erkennen, "wenn eine Anwendung keine umfangreichen Privilegien verlangt - denn dann wird sie auch im Administrator-Modus mit minimalen Rechten ausgeführt. Eine in einer derartigen Anwendung entdeckte Verwundbarkeit ist weit weniger kritisch als eine Verwundbarkeit in einer 'hoch privilegierten' Anwendung."
Kernelschutz von Vista
Der Kernelschutz von Vista besteht bei 64-Bit-Systemen aus mehreren Komponenten. Damit will Microsoft den Kernel von Vista vor Modifikationen schützen und beispielsweise Rootkits aussperren.
Ein Bestandteil des Kernelschutzes von Vista 64 Bit ist Patchguard. Zwar erkennt es Veränderungen in Zusammenhang mit dem Kernel, doch gibt es "genau beschriebene Methoden zur Deaktivierung des Schutzes". Das erleichtert Kaspersky Lab zufolge Angreifern ihre Attacke. Zudem wird der Patchguard-Schutzcode auf demselben Level ausgeführt wie die geschützte Software und wie der Code vor dem geschützt werden soll. Patchguard besitzt also die gleichen Rechte wie potentielle Angreifer und kann, wie Kaspersky Lab befürchtet, umgangen oder deaktiviert werden. Techniken hierzu seien bereits bekannt. Immerhin erkennen die Sicherheitsexperten an, das Patchguard die Stabilität des Windows-Systems erhöht, weil es legale Software davon abhält, den Kernel zu modifizieren.
Unternehmen jedoch, die wie Kaspersky Lab Schutzsoftware herstellen, würden in ihrer Arbeit behindert, weil sie aufgrund des restriktiven Kernelschutzes nicht mehr alle Funktionen ihrer Schutzsoftware zum Einsatz bringen könnten. Darüber hatten sich in der Vergangenheit bereits einige Sicherheitsunternehmen beklagt.
Der zweite Mechanismus zum Schutz des Kernels von Vista ist die Forderung nach digitalen Signaturen für jedes Modul und für jeden Treiber auf Kernelebene. Das Ganze läuft unter den Bezeichnungen "Mandatory Kernel Mode" und "Driver Signing".
Microsoft bietet Treiber-Programmierern aber verschiedene Möglichkeiten, um diesen Schutz zu umgehen. Das ist nötig, damit Firmen Treiber für Vista entwickeln und testen können. Von diesen Möglichkeiten können natürlich auch Angreifer Gebrauch machen. Zusätzlich wurde seinerzeit bereits im RC2 von Vista eine Möglichkeit entdeckt, diesen Schutz zu umgehen (Microsoft hat diese Lücke bereits geschlossen). Man muss also befürchten, dass Hacker auch beim Final Release von Vista Mittel und Wege finden, auf den derart geschützten Kernel zuzugreifen.
Ein genereller Kritikpunkt von Kaspersky Lab betrifft auch die Verfügbarkeit von Patchguard als Wachhund für den Kernel sowie die Überprüfung der Treiber-Signaturen: Beide Techniken stehen nämlich nur für 64-Bit-Rechner zur Verfügung. Für Vista mit 32 Bit gibt es keinen derartigen speziellen Schutz vor Rootkits.
Sicherheits-Mechanismen des Internet Explorers 7
Der Internet Explorer war in der Vergangenheit eines der Haupteinfallstore für Hacker. Um dieses Problem grundlegend zu beseitigen oder zumindest einzugrenzen, schuf Microsoft unter anderem den "geschützten Modus" (Protected Mode) beim Internet Explorer 7. Der Browser wird mit geringen Systemrechten ausgeführt, um den Zugriff auf das Dateisystem, die Registry und andere Bereiche einzuschränken.
Der geschützte Modus kann vom Benutzer für jede Zone einzeln aktiviert oder deaktiviert werden. In der Standardeinstellung ist er für die vertrauenswürdigen Knoten (in der Trusted Zone) deaktiviert.
Ein weiterer Schutzmechanismus ist ActiveX Opt-in: Alle ActiveX-Controls sind grundsätzlich verboten, es sei denn sie werden vom Benutzer explizit zugelassen. ActiveX ließ sich aber auch schon bei Vorgängerversionen des IE 7 abschalten, das ist also nicht grundsätzlich neu. Da bei abgeschaltetem ActiveX aber auch Flash nicht mehr funktioniert - wie sicherlich die meisten Anwender schon leidvoll erfahren mussten - dürften viele Anwender dazu neigen, ActiveX nachträglich generell einzuschalten. Die Schutzwirkung verpufft damit.
Das Fazit von Kaspersky Lab: Vista ist sicherer als ältere Windowsversionen. Aber viele Schutz-Funktionen nerven und können Anwender dazu verführen, sie abzuschalten. Vista dürfte wie alle Windowssysteme vor ihm den Ehrgeiz der Hacker herausfordern, es auf Schwachstellen zu testen. Und damit scheint sicher, dass auch etliche Schwächen und Sicherheitsmängel entdeckt werden. Und weiter: "Unserer Meinung nach sind die gegenwärtig in Vista realisierten Sicherheitsfunktionen nicht ausreichend, um ohne weiteres von zusätzlichen Sicherheitsvorkehrungen abzusehen". Sprich: Sie sollen zusätzliche Schutzsoftware wie beispielsweise Virenscanner einsetzen.
Sie können die Analyse von Kaspersky Lab hier in voller Länge nachlesen.
http://www.viruslist.com/de/analysis?pubid=200883512
Quelle: pcwelt.de
-
Der Sicherheitsdienstleister iDefense hat eine Schwachstelle in Kaspersky-Virenscannern gemeldet, die vor dem 7. Februar dieses Jahres erschienen. Das Antivirus-Programm konnte durch die Analyse von präparierten, mit dem Laufzeitpacker UPX komprimierten Dateien in eine Endlosschleife geraten. Angreifer könnten dadurch E-Mail-Server oder Clients vollständig auslasten und lahmlegen.
Laut der Sicherheitsmeldung konnte Kasperskys Entpackroutine für UPX durch einen negativen Offset für den Datenbereich in der Datei ein- und denselben Datenabschnitt endlos bearbeiten. Der russische Antivirenhersteller hat die Lücke am 7. Februar dieses Jahres abgedichtet. Die aktualisierten Softwareversionen wurden bereits per automatischem Update ausgeliefert.
Siehe dazu auch:
* Kaspersky AntiVirus UPX File Decompression DoS Vulnerability, Sicherheitsmeldung von iDefense
Quelle und Links : http://www.heise.de/security/news/meldung/86166
-
Die Hersteller von Sicherheitssoftware könnten nach Ansicht des russischen Spezialisten Eugene Kaspersky den Kampf gegen die wachsende Internet-Kriminalität verlieren. "Wenn das Wachstum bei der Schadsoftware in diesem Tempo weitergeht, könnte unsere gesamte Branche dieser Flut irgendwann nicht mehr standhalten", sagte Kaspersky auf der Computermesse CeBIT. Die Zahl von Programmen, die übers Internet Computer angreifen, sei 2006 um das 2,5-fache gestiegen. Für dieses Jahr rechne er mit einem ähnlichen Wachstum. "Deshalb setzte ich mich für eine Art Internet-Interpol ein. Auch die beste Sicherheitssoftware allein könnte bald nicht mehr reichen", betonte der Gründer des russischen Antiviren-Unternehmens Kaspersky Lab.
Die Entwickler von Schadsoftware seien in vieler Hinsicht im Vorteil. "Sie sind viele und sie sind unabhängig voneinander in der Welt verstreut, während die Flut ihrer Programme von einer Handvoll Unternehmen aufgehalten werden muss. Und für sie gibt es mit dem Internet keine Grenzen." Internet-Kriminelle aus Russland griffen britische Banken an, Brasilianer nähmen spanische Internet-Nutzer ins Visier – die Sicherheitsbehörden agierten dagegen aber hauptsächlich innerhalb der nationalen Grenzen.
"Wir haben es immer mehr mit einer weltweiten Industrie zu tun, die tausende Menschen beschäftigt. Ich würde mich nicht wundern, wenn sie Beträge umsetzt, die über den Erlösen der Sicherheitssoftware-Branche liegen", sagte Kaspersky. Schließlich gehöre zur Internet-Kriminalität eine Begleitinfrastruktur wie Geldwäsche.
Sorgen macht Kaspersky die Kampagne für eine stärkere Verbreitung Internet-tauglicher Computer in Schwellenländern und der dritten Welt. Gerade in ärmeren Ländern sei die Verlockung größer, Geld mit Internet-Kriminalität zu verdienen. "Aus Afrika kommt heute so gut wie keine Schadsoftware. Wenn Afrika dazu kommt, wird der Druck noch größer werden", warnte Kaspersky.
Die meisten neuen Schadprogramme derzeit seien Trojaner, sie sich unbemerkt auf dem Computer einnisten. Ein zunehmendes Problem seien auch mutierende Programme, die sich bei jedem jedem Nachladeversuch leicht veränderten. "Normalerweise kann man ein Gegenmittel für einen Trojaner schon nach wenigen Sekunden parat haben. Bei solcher Software muss man erst ein Gegenprogramm schreiben. Das kann eine Stunde, zwei Stunden oder einen ganzen Tag dauern. In dieser Zeit ist man ungeschützt."
Quelle : www.heise.de
-
Der Hersteller von Antivirenprogrammen Kaspersky hat das Maintencance Pack 2 für Kaspersky Anti-Virus 6.0 und Kaspersky Internet Security 6.0 veröffentlicht, das mehrere, teils kritische Sicherheitslücken beseitigen soll. So ist es Angreifern durch Fehlern in den installieren ActiveX-Controls AxKLProd60.dll und AxKLSysInfo.dll möglich, beliebige Dateien vom Rechner eines Opfers herunterzuladen oder zu löschen. Das Gleiche ist mit dem SysInfo-ActiveX-Control möglich, mit dem sich auf dem Rechner des Anwenders ein FTP-Transfer ohne Authentifizierung und ohne Nachfrage beim Anwender starten lässt. In allen drei Fällen muss das Opfer allerdings eine bösartige Webseite mit dem Internet Explorer besuchen. Das Maintenance Package beseitigt die Lücken zwar, aber nicht durch eine Korrektur des Fehlers, sondern indem es während der Installation die verwundbaren Controls einfach löscht.
Zudem finden sich zwei Heap Overflows in Kasperskys Produkten. Einer davon lässt sich beim OnDemand-Scan mit präparierten ARJ-Archiven provozieren; darüber lässt sich der Scanner zum Absturz bringen oder Code einschleusen und starten. Der andere Überlauf tritt durch einen Fehler in einer Hook-Funktion des Treibers klif.sys auf, Angreifer könnten damit Code mit Kernel-Rechten ausführen. Nach Angaben des Entdeckers der Lücke, der Sicherheitsdienstleister iDefense, soll sich diese Lücken aber nur sehr schwer ausnutzen lassen. Schließlich ermöglicht ein weiterer Fehler in diesem Treiber, Programme mit höchsten Privilegien (Ring-0) auszuführen. Die Fehler sind im Build 6.0.2. 614 behoben.
Anwender sollten die Produkt-Updates so bald wie möglich herunterladen und installieren.
Siehe dazu auch:
* Kaspersky Anti-Virus 6.0, Kaspersky Internet Security 6.0 - 5 vulnerabilities fixed in Maintenance Pack 2.0 build 6.0.2.614, Fehlerbericht des Kaspersky
* Kaspersky AntiVirus SysInfo ActiveX Control Information Disclosure Vulnerability, Fehlerbericht von iDefense
* Kaspersky Internet Security Suite klif.sys Heap Overflow Vulnerability, Fehlerbericht von iDefense
Quelle und Links : http://www.heise.de/security/news/meldung/87896
-
Das Maintenance Pack 2 ist zwar bereits seit Februar verfügbar, allerdings gab Kaspersky bei der Veröffentlichung nur an, dass das Produkt nun Vista-kompatibel sei. Informationen zu den damit beseitigten kritischen Sicherheitslücken gab es erst jetzt.
Quelle : www.heise.de
-
Kasperskys Sicherheitsprodukte enthalten einen Treiber, der sich in Windows-Systemfunktionen einklinkt und Aufrufe davon überwacht. Dabei übergebene Parameter überprüft der Treiber jedoch nicht korrekt, sodass Angreifer mit ungültigen Daten betroffene Systeme abstürzen lassen können. Der Sicherheitsdienstleister MatouSec schließt nicht aus, dass sich so auch Schadcode einschleusen und mit Systemrechten ausführen ließe, hat dies jedoch nicht überprüft oder nachgewiesen.
Sicherheitsprodukte klinken sich häufig in Systemfunktionen ein, um den Rechner zu überwachen. Durch die Überwachung der Aufrufe von Funktionen der System Service Descriptor Table (SSDT) lässt sich herausfinden, welche Programme auf dem Rechner aktiv sind und was sie machen – ein Behavioral Blocker kann dadurch Rückschlüsse auf schädliches Verhalten ziehen. Auch der Selbstschutz der Sicherheitssoftware lässt sich so umsetzen, indem sie Aufrufe unterbindet, die Modifikationen des eigenen Prozesses zur Folge haben.
Der Kaspersky-Treiber kilf.sys hakt sich unter anderem in die Systemfunktionen NtCreateKey, NtCreateProcess, NtCreateProcessEx, NtCreateSection, NtCreateSymbolicLinkObject, NtCreateThread, NtLoadKey2, NtOpenKey und NtOpenProcess ein. Ruft ein Programm diese Funktionen mit ungültigen Werten auf, stürzt der Rechner ab und startet neu. Der Sicherheitsdienstleister stellt in seiner Meldung ein Programm bereit, mit dem man dieses Verhalten nachvollziehen kann. Bei einem Test von heise Security stürzte dadurch Kasperskys Antivirus 6 mit allen aktuellen Patches unter Windows XP reproduzierbar ab.
Eine Sicherheitsmeldung von EP_X0FF erläutert die angeblich schon seit Langem vorhandene Schwachstelle in Kasperskys Treiber anhand der Funktion NtOpenProcess. Kaspersky hat darauf mit einem eigenen Fehlerbericht reagiert und einen Patch angekündigt, den das Unternehmen in Kürze via automatischem Update verteilen will. Das Sicherheitsrisiko stuft Kaspersky als niedrig ein, schließlich müsse ein lokaler Anwender dazu von Hand schädliche Software starten. Laut Kaspersky ermöglicht die Schwachstelle keine Ausweitung der Rechte oder die Ausführung von fremden Code. Betroffen sind Kaspersky Antivirus 6 und 7, Internet Security 6 und 7, Anti-Virus for Windows Workstations 6 sowie Anti-Virus 6 for Windows Servers unter den Betriebssystemen Windows NT bis Windows 2003 – unter Windows Vista verursacht das Beispielprogramm keinen Absturz.
Die sich in jüngster Zeit häufenden Funde von Schwachstellen in Software, die eigentlich der Sicherheit der Rechner dienen soll, wirft ein schlechtes Licht auf die Branche: Zahlreiche Antivirenhersteller, darunter F-Secure, Grisoft oder Avira, mussten kürzlich Sicherheitslücken wie Pufferüberläufe, Format-String-Schwachstellen oder einfach fehlende Überprüfungen von Benutzereingaben in ihren Produkten schließen, die sich häufig auf Pfusch oder fehlende Erfahrung der Entwickler zurückführen lassen. Dabei steht Antivirensoftware an vorderster Front gegen die Angreifer aus dem Netz und ist somit besonders unter Beschuss. Die Antivirenhersteller geben oft Ratschläge, wie man Software sicherer machen könnte. Hoffentlich animieren die jüngsten Vorkommnisse sie, ihren eigenen Ratschlägen zu folgen. Gerade bei Sicherheitssoftware sollte schließlich die Sicherheit eine zentrale Rolle auch in der Entwicklung spielen.
Siehe dazu auch:
* Kaspersky Multiple insufficient argument validation of hooked SSDT function Vulnerability, Sicherheitsmeldung von MatouSec
* Exploiting Kaspersky Antivirus 6.0-7.0, Fehlermeldung von EP_X0FF
* KLV07-07.Klif.sys calling NtOpenProcess vulnerability, Fehlerbericht von Kaspersky
Quelle und Links : http://www.heise.de/security/news/meldung/91275
-
Der Sicherheitsdienstleister Matousec hat neben Informationen zu Schwachstellen in Treibern von diversen Sicherheitsprodukten auch ein Werkzeug veröffentlicht, mit dem interessierte Nutzer und Programmierer selber die saubere Implementierung von Kernel-Modus-Treibern überprüfen können. Die Treiber der Windows-Sicherheitslösungen klinken sich in Systemfunktionen im System Service Descriptor Table (SSDT) ein, um den Rechner zu überwachen. Dabei filtern sie jedoch häufig an sie übergebene Parameter nicht ordentlich, wodurch dann Fehler im Kernel-Kontext auftreten, durch die das System etwa abstürzt oder untergeschobener Code zur Ausführung kommt. Lokale Anwender können dann beispielsweise ihre Rechte im System ausweiten.
In der Analyse beschreiben die Sicherheitsexperten von Matousec, wie es zu den häufiger gefundenen Fehlern kommt – und wie Programmierer sie vermeiden können. Auch Microsoft stellt Dokumente bereit, die Richtlinien für die saubere Treiberprogrammierung beschreiben.
Matousec stellt in der Analyse auch das Werkzeug BSODhook vor und bietet es kostenlos zum Download an. Damit können Programmierer und interessierte Anwender Systemfunktionen, in die sich etwa Sicherheitssoftware eingeklinkt hat, mit unterschiedlichen Parametern aufrufen. Wenn ein Treiber einen Aufruf nicht ordentlich filtert, kommt es in der Regel zu einem Systemabsturz – alle nicht gespeicherten Änderungen im System gehen dann verloren.
Mit BSODhook haben die Forscher in zahlreichen Sicherheitsprodukten fehlerhafte Treiberimplementierungen aufgespürt. Betroffen sind laut der Matousec-Analyse folgende Produkte:
* BlackICE PC Protection 3.6.cqn
* G DATA InternetSecurity 2007
* Ghost Security Suite beta 1.110 and alpha 1.200
* Kaspersky Internet Security 7.0.0.125
* Norton Internet Security 2008 15.0.0.60
* Online Armor Personal Firewall 2.0.1.215
* Outpost Firewall Pro 4.0.1025.7828
* Privatefirewall 5.0.14.2
* Process Monitor 1.22
* ProcessGuard 3.410
* ProSecurity 1.40 Beta 2
* RegMon 7.04
* ZoneAlarm Pro 7.0.362.000
Bei den meisten Produkten handelt es sich um die aktuellen Versionen, für die es derzeit noch keine Updates gibt.
Siehe dazu auch:
* Analyse und Download von Matousec -> http://www.matousec.com/projects/windows-personal-firewall-analysis/plague-in-security-software-drivers.php
Quelle : www.heise.de
-
Der AV-Hersteller Kaspersky hat eine neue Version des ActiveX-Controls herausgegeben, das der Kaspersky Online Scanner auf den Rechnern seiner Anwender installiert. Das fehlerbereinigte Control mit dem Dateinamen kavwebscan.dll trägt die Versionsnummer 5.0.98.0. Der Hersteller behebt damit kritische Schwachstellen, durch die sich verwundbare Systeme beim Besuch manipulierter Webseiten mit dem Internet Explorer unter Umständen mit beliebigem Schadcode infizieren können.
(http://www.heise.de/bilder/97245/0/0)
Die Versionsnummer des Controls lässt sich beispielsweise in den Dateieigenschaften anzeigen.
Ursache des Problems sind laut einem iDefense-Advisory Format-String-Verwundbarkeiten in mehreren Funktionen des ActiveX-Controls, die in Version 5.0.93.0 nachgewiesen wurden, vermutlich aber auch in den Vorgängerversionen zu finden sind. Wer sich über die Version des installierten Controls informieren möchte, findet es im Ordner C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner. Wird die Versionsnummer nicht bereits zusammen mit dem Dateinamen angezeigt, lässt sie sich durch einen Rechtsklick auf das Icon und die Auswahl von "Eigenschaften" abrufen.
Wer in der Vergangenheit den Online-Scanner verwendet hat, sollte umgehend handeln. Um die neue Version des Controls zu installieren, genügt ein weiterer Start des Scanners. Auch das Löschen der verwundbaren DLL-Datei schafft Abhilfe. Das Setzen des Kill-Bits für das Control, das die ID 0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75 trägt, verhindert zwar ebenfalls, dass sich die Schwachstelle ausnutzen lässt, macht jedoch auch Kasperskys Online-Scanner funktionsunfähig.
Anzeige
Siehe dazu auch:
* Kaspersky Lab announces the release of a new version of its free Kaspersky Online Scanner, Meldung des Herstellers
* Kaspersky Web Scanner ActiveX Format String Vulnerability, Advisory von iDefense
Quelle und Links : http://www.heise.de/security/news/meldung/97245/Kasperskys-Online-Scanner-installierte-verwundbares-ActiveX-Control
-
Der russische Antivirenhersteller Kaspersky hat in der vergangenen Nacht ein Update der Viren-Signaturen verteilt, durch das die Datei explorer.exe, die unter anderem die Windows-Bedienoberfläche für Anwender bereitstellt, als Worm.Win32.Huhk.c erkannt wird. Dadurch haben einige Nutzer der Software und darauf basierender Antivirenlösungen wie der von Gdata diese Datei nachhaltig gelöscht und können ihr System nach einem Neustart nicht mehr bedienen.
Diese Situation tritt insbsondere dann ein, wenn die Windows File Protection deaktiviert wurde und Windows die explorer.exe nicht mehr automatisch wiederherstellen kann. Außerdem ist es möglich, dass Anwender alle auf dem System vorhandenen Kopien der Datei gelöscht haben, wodurch eine Wiederherstellung ebenfalls fehlschlägt. In so einem Fall kann jedoch eine Wiederherstellung mit der Installations-CD von Windows glücken, indem man die Datei entweder über die Rettungskonsole oder die Rettungsinstallation einspielt.
Kaspersky hat kurze Zeit nach der Veröffentlichung der fehlerhaften Signaturen ein weiteres Update nachgelegt, das nicht mehr zu einem Fehlalarm bei der Datei explorer.exe führt. Betroffene Anwender sollten daher, sofern möglich, ein manuelles Signaturupdate durchführen.
Fehlalarme von Virenscannern sind nicht ungewöhnlich, betreffen aber selten essenzielle Systemdateien. Beispielsweise hatte Avira Anfang des Jahres ein ähnliches Problem, als ein Signaturupdate zu einer fehlerhaften Erkennung der winlogon.exe als Schadprogramm geführt hatte. Bei der schnellen Reaktionszeit und den häufigen Updates von Kaspersky ist es jedoch bemerkenswert, dass es nicht häufiger zu Fehlalarmen kommt – viel Zeit zum intensiven Überprüfen der Signaturen vor der Auslieferung bleibt dem Unternehmen wahrscheinlich nicht.
Siehe dazu auch:
* Virus Worm Win32 Huhk.c, Diskussion über den Fehlalarm in Kasperskys Benutzerforum
* Virus-Fehlalarm von Avira in winlogon.exe, Meldung von heise Security
Quelle und Links : http://www.heise.de/security/news/meldung/100909/Fehlalarm-von-Kaspersky-legt-Windows-Rechner-lahm
-
Auf der Website hackersblog.org berichtet ein Teilnehmer mit dem Kürzel "unu" von seinen Erkenntnissen, wie man durch einfache Variation einiger Zeichen in der URL auf Seiten mit sensiblem Inhalt vorstoßen kann. Mit der SQL Injection genannten Technik gelange man an Daten über Kunden, Aktivierungscodes, Fehlerberichte, Administratorennamen und Shops. Zum Beleg hält der Entdecker der Sicherheitslücke einige Screenshots bereit. Dass Programme auf Webservern Eingabedaten nicht ausreichend filtern, ist ein weit verbreitetes Sicherheitsproblem.
Laut Medienberichten halten Sicherheitsexperten die Schilderungen für glaubhaft, so auch Roger Thompson vom Konkurrenten AVG. Kaspersky habe die Vorwürfe zunächst nicht kommentieren wollen und einige Stunden nach Bekanntwerden in einer E-Mail angekündigt, man benötige noch weitere Zeit. Auf Hackersblog rechtfertigte sich einer der Macher für die Veröffentlichung der Sicherheitslücke: Kaspersky brauche sich keine Sorgen zu machen, dass die Leute von hackersblog vertrauliche Dinge verbreiten würden. Man zeige nur mit dem Finger auf große Websites mit Sicherheitsproblemen.
Update:
Inzwischen erreichte heise online hierzu eine offizielle Stellungnahme von Kaspersky: Der Hersteller von Antiviren-Software bestätigt, dass ein Sicherheitsproblem vorlag. Es sei jedoch nur die amerikanische Seite usa.kaspersky.com betroffen. "Für die Webseiten und Server von Kaspersky Lab Central Europe bestand zu keiner Zeit eine Gefahr", beruhigen die AV-Spezialisten. Des weiteren habe man die Sicherheitslücke bereits 30 Minuten nach deren Entdeckung geschlossen. Das Statement enthält auch einige eher zweifelhafte Einschätzungen. So behauptet Kaspersky: "Die Sicherheitslücke war nicht kritisch und keine Daten wurden von der Seite gestohlen."
Quelle: heise.de (http://www.heise.de)
-
Nach Kasperskys Webseite hat es nun offenbar auch den Webauftritt von BitDefender erwischt. Ein unter dem Pseudonym "unu" auf hackersblog.or schreibende Blogger hatte am Wochenende gezeigt, wie sich über SQL-Injection Daten über Kunden, Aktivierungscodes, Fehlerberichte und Administratorennamen auf Kaspserskys Seiten abrufen lassen.
Heute hat er sich die portugisischen Webseiten des Antivirenherstellers BitDefender näher angeschaut und sehr ähnliche Probleme in der Absicherung der Datenbank wie bei Kaspersky entdeckt. Durch einfache Manipulationen der URL ist SQL-Injection möglich, wodurch sich Teile von Kundendaten anzeigen lassen – darunter auch mehrere Tausend E-Mail-Adressen. "unu" hat in seinem Blog einige Screenshots zu dem Problem veröffentlicht. BitDefender soll über das Problem informiert sein.
[Update]:Bei der erwähnten Webseite handelt es sich nicht um einen vom Hersteller BitDefender betriebenen Auftritt. Bitdefender.pt wird von einem portugisischen Partner (Reseller) verwaltet. Derzeit ist die Seite nicht zu erreichen.[/Update]
Quelle : www.heise.de
-
In einem Kurztest des Antiviren-Labors AV-Test übersahen die Virenscanner der soeben vorgestellten Kaspersky Internet Security 2010 und Kaspersky Anti-Virus 2010 gleich vier Schädlinge aus der Wildlist, einer Referenzliste von 3.194 verbreiteten Schädlingen. Die 2008er-Version mit ihrer älteren Engine identifizierte diese hingegen korrekt als "Email-Worm.Win32.Kipis.u", "Net-Worm.Win32.Mytob.bi" (2 Dateien) und "Backdoor.Win32.Rbot.bng".
Die Wildlist wird in regelmäßigen Abständen aktualisiert und dabei auch allen Herstellern von Antiviren-Software zur Verfügung gestellt. Sie gilt als eine Art Referenzstichprobe für die Funktionstüchtigkeit eines Virenscanners. Als echtes Qualitätsmerkmal hat sie bereits seit einiger Zeit ausgedient, weil sie neue Gefahren nicht ausreichend und wichtige Schädlingsgruppen wie Trojanische Pferde überhaupt nicht berücksichtigt. Auf Grund des Referenzcharakters der Sammlung ist es trotzdem besorgniserregend, dass dem Scanner gleich mehrere Schädlinge durchrutschen, die sein Vorgänger noch erkennt.
In den weiteren Tests des Labors hinterließen die Kaspersky-Produkte jedoch einen guten Eindruck. Insbesondere die verhaltensbasierte Erkennung, die schon im letzten c't-Test recht gut abschnitt, konnte die russische Firma anscheinend nochmal deutlich verbessern. So wurde die Mehrzahl der per Doppelklick auf einem Testsystem gestarteten brandneuen Schädlingsdateien von KIS als "nicht vertrauenswürdig" eingestuft und isoliert, obwohl sie der Signaturscan noch nicht erkannte. Auch die Reinigung von Schädlingen und die Erkennung beziehungsweise Entfernung bereits aktiver Rootkits funktionierte laut AV-Test anstandslos. AV-Test hat Kaspersky über die Patzer bei der Erkennung informiert; auf diesbezügliche Fragen von heise Security hat der AV-Hersteller jedoch bislang nicht geantwortet.
Quelle : www.heise.de (http://www.heise.de)
-
Mit einem automatisch verteilten Update hat Kaspersky die Probleme der Produkte aus der 2010er-Serie bei der Erkennung von Schädlingen behoben. Die Ursache lag tiefer als es zunächst den Anschein hatte.
In einem Kurztest erkannte das neue Kaspersky Antivirus und Internet Security 2010 zunächst vier Schädlinge aus einer verbreiteten Referenzliste nicht. Dieses Problem beseitigte Kaspersky unverzüglich, indem man passende Signaturen nachreichte. In weiteren Tests zeigte sich jedoch, dass weitaus mehr Schädlinge betroffen waren und nicht erkannt wurden, obwohl die Vorgängerversionen diese durchaus identifizieren konnten. Dabei stellte sich heraus, dass alle mit dem gleichen Laufzeitpacker gepackt waren. Offenbar arbeitete die Unpack-Routine der 2010er-Engine nicht korrekt, sodass der nachgeschaltete Signatur-Scan den Schädling nicht erkannte.
Zum Hintergrund: Virenautoren verpacken ihren Unrat mit sogenannten Laufzeitpackern wie UPX, FSG und ASPack immer wieder neu, um die Signatur-Erkennung von AV-Scannern auszutricksen. Diese Packer komprimieren den Code eines Programms und bauen davor eine Routine ein, die es beim Start wieder auspackt. In der Folge finden dann viele Scanner die Signatur des Schädlings nicht mehr und lassen ihn unbeanstandet passieren. Da auch normale Programme derartige Laufzeitpacker verwenden, können Antivirenprogramme auch nicht einfach jedes komprimierte Programm monieren, ohne die Fehlalarmquote hoch zu treiben. c't testet deshalb in den Tests von Antivirenprogrammen bereits seit geraumer Zeit, ob sich Virenscanner mit derartigen Laufzeitpackern austricksen lassen. Die guten Scanner sind in der Lage, die Kompressions-Methode zu erkennen, das Programm auszupacken und dann den Signatur-Scan auf das Originalprogramm anzuwenden. Kaspersky erkannte beispielsweise im letzten Test rund 90 Prozent der komprimierten Schäldlinge.
Magnus Kalkuhl, Senior Virus Analyst bei Kaspersky, bestätigte gegenüber heise Security jetzt, dass Kaspersky das Unpacking-Modul der 2010er-Engine korrigiert und diese neue Version im Rahmen des normalen Update-Prozesses verteilt hat. Seltsam bleibt, dass Kaspersky diesen Fehler nicht selbst, bei eigenen Vorabtests des Produkts bemerkt hatte.
Quelle : www.heise.de (http://www.heise.de)
-
Kaspersky Internet Security 2010 und Anti-Virus 2010 geraten laut eines vom Sicherheitsspezialisten Maksymilian Arciemowicz veröffentlichten Berichts bei präparierten URLs aus dem Tritt. Die Produkte schalten einen Filter-Proxy zwischen den lokalen Browser und dem Netz und parsen die im Browser aufgerufene URL. Enthält diese mehr als 1024 aufeinanderfolgende Punkte, so erhöht sich aufgrund eines Programmierfehlers die CPU-Last der Komponente avp.exe drastisch. In der Folge kann der Browser keine Seiten mehr abrufen.
Der Fehler lässt sich sowohl über Links in Webseiten als auch über Links in HTML-Mails provozieren. Der Fehler wurde in Kaspersky Internet Security 2010 9.0.0.459 und Vista und Kaspersky Anti-Virus 2010 9.0.0.463 unter XP Home Edition verifiziert. Ein Update zu Behebung des Fehlers gibt es noch nicht.
Siehe dazu auch:
* Kaspersky AV/IS 2010 (avp.exe) Denial-of-Service (http://securityreason.com/achievement_securityalert/66)
Quelle : www.heise.de
-
Uns erreichen derzeit vermehrt Hinweise zu Virenwarnungen der Antiviren-Software von Kaspersky und G-Data beim Öffnen von Web-Seiten – unter anderem auch auf heise online. Wie es aussieht, handelt es sich dabei um einen Fehlalarm. Eine offizielle Stellungnahme des Herstellers steht zwar noch aus, allerdings wird das Thema bereits heftig in den Kaspersky-Foren diskutiert. Dort berichtet auch ein Betroffener, der technische Support habe ihm bestätigt, dass es sich um falschen Alarm handele.
Der Wächter moniert Verweise auf xxp://pagead2.googlesyndication.com/pagead/show_ads.js, mit denen Google-Anzeigen eingeblendet werden. Kaspersky meldet dabei einen Trojan.js.redirector.ar. Doch weder ein manueller Check der Datei noch eine Analyse mit Virenscannern auf Virustotal fördern etwas konkret verdächtiges zu Tage. Da manche G-Data-Versionen die Kaspersky-Engine und deren Signaturen einsetzen, erhalten auch deren Anwender gelegentlich diesbezügliche Alarmmeldungen.
Quelle : www.heise.de
-
So mancher Brite wird sich am gestrigen Mittwoch beim Besuch der BBC-Website über das neue Geschäftsmodell der öffentlich-rechtlichen Sendeanstalt gewundert haben. "Zugriff verweigert!", meldete die Sicherheits-Suite "Internet Security 2011" des Softwareherstellers Kaspersky auf dem frisch renovierten Internetauftritt. Angeblich würden unter anderem Passwörter und Kreditkartennummern an diesem bösen Ort gestohlen.
Das kann doch nicht mit rechten Dingen zugehen, dachte sich ein Kaspersky-Nutzer beim Anblick der irritierenden Warnmeldung und informierte den Hersteller über Twitter. Das Unternehmen reagierte prompt: Es handele sich tatsächlich um einen Fehler. Der Support arbeite an einer Lösung. Mittlerweile sorgt ein manuelles Update der Signaturdatenbank für Abhilfe.
Die "False positives", also falsche Positivtreffer, stiften nicht nur Verwirrung, wie im Fall des Kaspersky-Phishing-Filters: Ist etwa ein Virenscanner nach dem Signatur-Update beharrlich der Meinung, wichtige Systemdateien seien mit Schadcode infiziert, bootet das Betriebssystem nach erfolgreicher "Bereinigung" unter Umständen nicht mehr.
Quelle : www.heise.de
-
Kaspersky hat die Revision 10.0.1 der 2011-Versionen von Kaspersky Anti-Virus (KAV) und Kaspersky Internet Security (KIS) fertiggestellt – bisher allerdings nur auf deutsch und französisch. Diese Revision wurde zuvor als "Critical Fix 1" getestet.
Das neue Release soll grobe Probleme mit dem Erst-Release von KAV und KIS 2011 beseitigen (Build 11.0.0.232) – darunter das von einigen Anwendern beobachtete "Einfrieren" des Rechners am Ende eines Signatur-Updates.
Mitte Juni hatte Kaspersky beide Programme auf Revision 11.0.0.232 (a) gepatcht. Das Update auf 11.0.1.400 muss der Anwender derzeit per Hand herunterladen und einspielen. Es ist dazu nicht nötig, eine bestehende Installation von KAV/KIS 2011 zu entfernen. Nach dem Update ist ein Neustart fällig, gefolgt von einem Signatur-Update – die mit 10.0.1 ausgelieferten Signaturen stammen vom 1. Juli.
Der Umstieg auf die 2011-Generation lief für viele Anwender eher holprig: Einige Installationen verweigerten das Update mit einer Fehlermeldung, die "schwarze Lizenzliste" ungültiger Seriennummern sei beschädigt. Bei bestimmten Konfigurationen nahm KIS in regelmässigen Intervallen kurzzeitig den ganzen Arbeitsspeicher in Beschlag. Andere Anwender mussten nach der Installation von Kaspersky 2011 ihre USB-Eingabegeräte neu anschließen, da Windows sie nicht mehr erkannte. Auch aktualisiert der Critical Fix die "Kaspersky Anti-Spam Extension" für Thunderbird, sodass sie jetzt auch unter Thunderbird 3.1 funktioniert.
Quelle : www.heise.de
-
Ausgerechnet die Website des Antiviren-Software-Unternehmens Kaspersky wurde am vergangenen Sonntag in eine Malware-Schleuder verwandelt. Für dreieinhalb Stunden wurde über den Server der russischen Firma Schadsoftware verteilt. Nach den Angaben einiger Nutzer von Kasperskys Support-Foren sollen die Verantwortlichen der Firma eine Kompromittierung der Server zunächst bestritten haben.
Angeblich sollen Kaspersky-Mitarbeiter zunächst unterstellt haben, die betroffenen Nutzer wären auf einer Phishing-Seite gewesen. Am heutigen Dienstag jedoch gab Kaspersky den sicherheitsrelevanten Vorfall öffentlich zu. Die unter "kasperskyusa.com" erreichbare Website wurde - angeblich durch eine verwundbare Third-Party-Software - kompromittiert und zur Malware-Verbreitung benutzt.
Benutzer der kompromittierten Seite wurden auf eine bösartige Website umgeleitet. Diese versuchte mit gefälschten Warnmeldungen sogenannte Scareware - gefälschte Sicherheitssoftware - an den Mann zu bringen. Infiziert wurden wahrscheinlich nur Benutzer, die auf den Trick hereinfielen und die Software herunterluden.
Über die näheren Umstände des Vorfalls schweigt Kaspersky sich aus. Auch mit Ratschlägen für betroffene Nutzer ist man bisher sparsam. Man erklärte lediglich, die Angreifer hätten keinen Zugriff auf Kundendaten gehabt und man habe den Angriff nach der Entdeckung schnell beenden können. Kaspersky-Sicherheitsforscher versuchen momentan, mögliche Folgen des Angriffs zu identifizieren.
Quelle : www.gulli.com
-
gulli:News liegt mittlerweile die Original-Stellungnahme von Kaspersky Labs vor. Darin heißt es, nachdem die Admins über den Vorfall informiert wurden sei der Server innerhalb von zehn Minuten vom Netz genommen worden. Danach habe man die Dateien durch saubere Originalversionen ersetzt und außerdem eine komplette Sicherheitsüberprüfung sämtlicher Server - auch von dem Vorfall nicht betroffener Maschinen - durchgeführt, um sicher zu stellen, dass sie aktuelle und sichere Software verwenden. Momentan sei der betroffene Server "sicher und in vollem Umfang wieder online".
Quelle : www.gulli.com
-
Seit gestern bereitet offenbar die Antiviren-Software von Kaspersky in Firmenumgebungen ernste Probleme. Administratoren von Servern mit Kaspersky Anti-Virus klagen in Foren (http://forum.kaspersky.com/index.php?showtopic=189996) über hohe Systemlast – bis hin zum Stillstand des kompletten Systems. Die Berichte beziehen sich auf Windows-Server mit KAV 6 Enterprise, ob auch andere Versionen betroffen sind, ist derzeit unklar.
Auslöser des Problems scheint ein Signatur-Update zu sein. Als temporäre Abhilfe empfehlen Betroffene ein Rollback auf einen älteren Signaturstand und das gleichzeitige Deaktivieren des Signatur-Updates. Eine Stellungnahme von Kaspersky steht noch aus; in den Forenbeiträgen berichten jedoch Anwender, dass der Support ihnen die Existenz des Problems bestätigt habe.
Quelle : www.heise.de
-
Gottseidank sind die privaten Umgebungen nicht betroffen. Meine Systemlast liegt auch heute (nach Kaspersky Update v. gestern) unter Vista bei 1%...
-
Kaspersky bestätigt, dass am Samstag Abend ein fehlerhaftes Update für Kaspersky Anti-Virus 6.0 for Windows Servers Enterprise veröffentlicht wurde. Das führte dann zu den beschriebenen Lastproblemen auf Windows-Server-Systemen. Heute, am 25.10 gegen 12:46 hat der Hersteller ein weiteres Update veröffentlicht, das den Fehler wieder beseitigen soll.
Quelle : www.heise.de
-
Endlich hat Kaspersky den Critical Fix 2 für die 2011-Versionen von Kaspersky Anti-Virus (KAV) und Kaspersky Internet Security (KIS) freigegeben. Critical Fix 2 war bereits Anfang Oktober erschienen, um nach wenigen Tagen ohne Angabe von Gründen wieder vom Server genommen zu werden.
(http://www.heise.de/imgs/18/6/0/2/0/7/2/b9205961673ca541.png)
Critical Fix 2 soll zahlreiche Probleme
mit Kaspersky Anti-Virus und Kaspersky
Internet Security 2011 beseitigen.
Der jetzt veröffentlichte Build 11.0.2.556 (a.b) enthält keine neuen Funktionen, beseitigt aber zahlreiche Fehler und Kompatibilitätsprobleme. Bei KIS 2011 wurden Probleme mit der Firewall sowie bei den Spam-Filtern für The Bat und Thunderbird beseitigt. Die Release Notes für Kaspersky Anti-Virus 2011 (http://products.kaspersky-labs.com/german/homeuser/kav2011/release_notes_kav11.0cf2_de.html) und Internet Security 2011 CF2 (http://products.kaspersky-labs.com/german/homeuser/kis2011/release_notes_kis11.0cf2_de.html) heben zusätzlich Verbesserungen bei der Rootkit-Behandlung hervor.
Kaspersky Anti-Virus und Internet Security 2011 aktualisieren sich nicht eigenständig auf Critical Fix 2; man muss die 111 MByte großen Installationspakete per Hand herunterladen. Auf einem Testrechner funktionierte kein In-Place-Upgrade; der installierte Build 400 musste erst deinstalliert werden. Immerhin kann man bei der Deinstallation wählen, die bisherigen Einstellungen zu erhalten.
(http://www.heise.de/imgs/18/6/0/2/0/7/2/75a21959be2cd871.png)
Im Unterschied zu CF1 lässt sich Critical Fix 2
nicht direkt über die Vorversion installieren.
Gegenüber dem kurzzeitigen Release vom Oktober enthält das aktuelle Installationspaket zwei zusätzliche Revisionen. Das Online-Installationspaket enthält Signaturen vom 28. November. Wer schon im Oktober Build 556 installiert hat, sollte die Revisionen (a) und (b) bereits über die integrierte Update-Funktion erhalten haben – diese Anwender müssen ihre Software also nicht neu installieren.
Quelle : www.heise.de
-
(http://www.heise.de/imgs/18/6/0/3/8/3/7/7a13aea98e9a0d2e.png)
Falscher Alarm: heise.de verteilt keinen Schadcode.
Benutzer der Antvirenprodukte von Kaspersky mit aktivem Webfilter werden in diesem Moment unter Umständen eine Virenwarnung erhalten. Doch kein Grund zur Sorge: Ein Fehler in der Heuristik ist dafür verantwortlich, dass die Kaspersky-Engine beim Besuch von heise.de im Doubleclick-Anzeigenscript fälschlicherweise den Virus "HEUR:Trojan.Script.Iframer" findet.
Das Script lädt ein weiteres Script nach, das wiederum dynamisch ein iFrame generiert. Das kommt der Heuristik des Virenscanners verdächtig vor. Magnus Kalkuhl von Kaspersky versprach uns, dass der Fehlalarm "mit dem nächsten Update behoben wird."
Quelle : www.heise.de
-
Im Internet kursiert gegenwärtig angeblich ein Archiv, in dem der Quelltext von verschiedenen Produkten des Sicherheitsdienstleisters Kaspersky enthalten ist. Ursprünglich wurde der Sourcecode 2008 bei Kaspersky gestohlen.
Der Quellcode selbst wurde in den Sprachen C++ und Delphi geschrieben. Zu dem besagten Archiv gehören wie bereits angesprochen unterschiedliche Komponenten von Kaspersky. Die Rede ist von der Engine des Anti-Viren-Scanners selbst und weiteren Modulen.
Gegenwärtig ist noch nicht vollständig klar, zu welchem Produkt von Kaspersky der Quelltext gehört. Es wird davon ausgegangen, dass es sich dabei um die Kaspersky Internet Security in Version 8.0 handeln könnte. Die aktuelle Ausführung stellt hingegen die Version 11.0 dar.Inzwischen hat sich Kaspersky offiziell zu diesem Vorfall geäußert. Laut einem Bericht von 'CNews (http://translate.google.com/translate?js=n&prev=_t&hl=en&ie=UTF-8&layout=2&eotf=1&sl=ru&tl=en&u=http://safe.cnews.ru/news/top/index.shtml?2011/01/28/425158)' soll für diesen Leak im Jahre 2008 ein ehemaliger Angestellter von Kaspersky verantwortlich sein. Der namentlich nicht bekannte Mann wurde angeblich zu drei Jahren Haft verurteilt.
Quelle : http://winfuture.de
-
Im Kaspersky-Forum beschweren sich einige Nutzer, dass ein Update bei 34 Prozent hängen bleibt.
Eine Zeit lang gab es laut Kaspersky-Forum wohl ein Problem mit den Update-Servern. Diese waren nicht oder nur teilweise erreichbar, so dass sich Updates nach einer Weile einfach mit einem Timeout verabschiedeten.
In der Zwischenzeit konnte das Problem behoben werden, wie ein Kaspersky-Mitarbeiter bestätigt. Were also gestern kein Update seiner Sicherheits-Software durchführen konnte, sollte das gleich noch einmal versuchen. Im Forum bestätigt man das aus der Welt geschaffte Problem und die Aktualisierungen funktionieren wieder.
Quelle : www.tecchannel.de
-
Mit dem "Security Scan" bietet jetzt auch Kaspersky einen kostenlosen On-Demand-Scanner zum Download an. Der Hersteller sieht das Tool als Möglichkeit für Windows-Anwender, unkompliziert eine zweite Meinung über den Zustand ihres Systems einzuholen.
(http://www.heise.de/imgs/18/8/8/8/5/0/5/3fed2be4cf154241.jpeg)
Hierfür stellt Kaspersky dem Scanner alle Ressourcen seiner kommerziellen Sicherheitsprodukte zur Verfügung. Kaspersky Security Scan greift bei der Untersuchung des Rechners also nicht nur auf aktuelle Signaturen und heuristische Erkennungsmethoden zurück, sondern hält bei unbekannten Dateien auch Rücksprache bei den Kaspersky-Servern (Cloud-Erkennung).
Gelesen klingt das alles noch vernünftig und lobenswert. Bei der Umsetzung hakt es jedoch gewaltig – Details dazu finden Sie in diesem Artikel bei Heise Security:
Kasperskys Scanner-Geschenk mit Widerhaken (http://www.heise.de/security/artikel/Kasperskys-Scanner-Geschenk-mit-Widerhaken-1637943.html)
Quelle : www.heise.de
-
In der Nacht von Montag auf Dienstag lieferte Kaspersky ein fehlerhaftes Signatur-Update aus, das zahlreiche XP-Rechner weitgehend lahmlegte. Der Fehler stellte den Web-Schutz offenbar so scharf, dass die Kaspersky-Produkte fast alle Versuche zum Aufbau interner und externer Netzverbindungen schweigend blockierten. Zudem produzierte der Virenscanner maximale Systemlast, sobald Anwender ein Browser-Fenster öffneten.
Zwar hatte der Hersteller zwei Stunden später bereits ein korrigiertes Update fertig – dumm nur, dass es auf den betroffenen Rechnern aufgrund der Blockade nicht ankommen konnte. Komplett abgeschottet waren die Anwender wohl nicht: So sollen beispielsweise die Suchmaschinen Google und Yahoo noch erreichbar gewesen sein.
Offenbar waren durch die Bank alle XP-Rechner mit Kaspersky-Sicherheitsprodukten betroffen: Im Support-Forum des Herstellers haben sowohl Administratoren von Kaspersky Endpoint Security 8 als auch Anwender mit Kaspersky Internet Security 2013 den Fehler gemeldet. Rechner mit Windows 8, 7 oder Vista waren nicht betroffen.
Bei Unternehmenslösungen half es, den Web-Schutz über eine Sicherheitsrichtlinie vorübergehend zu deaktivieren oder Ausnahmeregeln für die relevanten Ports nach außen festzulegen. Auch Privatanwender konnten ihre Internet-Verbindungen wiederherstellen, indem sie den Web-Schutz deaktivierten.
Der Kaspersky-Support riet betroffenen Administratoren, zuerst das zentrale Update-Archiv komplett zu leeren und dann die aktualisierten Virensignaturen herunterzuladen. Dieser Vorgang kann allerdings mehrere Stunden dauern. Bei Privat-PCs soll es genügt haben, erst den Web-Schutz abzuschalten und dann die Update-Funktion manuell aufzurufen.
Quelle : www.heise.de
-
Sicherheitsforscher Marc Heuse hat herausgefunden, dass sich die Firewall der Kaspersky Internet Security 2013 an bestimmten IPv6-Paketen verschluckt. Weil Kaspersky darauf nicht reagierte, veröffentlichte er Details zum Problem. Kurz darauf reagierte Kaspersky mit einem Fix.
Konkret genügte ein einziges Paket, um einen Windows-PC komplett zum Stillstand zu bringen. Wie Heuse beim Test mit seiner IPv6-Toolsuite feststellte, reagierte KIS allergisch auf fragmentierte IPv6-Pakete mit einem überlangen Erweiterungs-Header. Seit Windows Vista ist IPv6-Unterstützung standardmäßig aktiv; wäre man auch ohne einen der immer noch dünn gesäten IPv6-Internet-Zugänge durchaus angreifbar – etwa in öffentlichen WLANs.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Kaspersky-fixt-IPv6-Problem-der-Internet-Security-Suite-1822609.html)
Quelle : www.heise.de