Thema: Sophos diverses ...

[SiLæncer]

Die Small Business Suite des Herstellers von Antivirensoftware Sophos versagt unter besonderen Umständen beim Finden und Entfernen von Viren, Würmern und Trojanern. Besitzt eine infizierte Datei einen Namen, der eigentlich für reservierte Geräte- und Dateinamen unter MS-DOS gedacht ist (LPT1, AUX, CON, COM1, PRN), so übersieht der mit der Suite ausgelieferte Scanner diese Datei.  

Betroffen ist sowohl die E-Mail-Überprüfung als auch die manuelle Suche in Dateien und Verzeichnisse sowie die Echtzeitüberwachung. So ist es sogar möglich, "unter den Augen" des Scanners infizierte Dateien zu verschieben, zu kopieren und zu entpacken, allerdings nur, solange man die reservierten Namen verwendet. Sophos hat den Fehler in der Small Business Suite 1.00 bestätigt und eine neue Version des Scanners am 22.9. zur Verfügung gestellt.

http://www.sophos.com/

Quelle : www.heise.de

[SiLæncer]

Die Antiviren-Software von Sophos ist anfällig für einen Pufferüberlauf. Der AV-Hersteller sieht darin nur ein theoretisches Risiko und verrät keine weiteren Details. Anders das französische FrSIRT, das offenbar über weitergehende Informationen verfügt. Demzufolge handelt es sich um einen Heap-Overflow bei der Analyse bestimmter Dateien. Diesen könnten Angreifer durch speziell präparierte E-Mails ausnutzen, um eigenen Code auf dem Scan-System auszuführen. Das FrSIRT stuft die Lücke als kritisch ein.

Betroffen sind laut Sophos die Versionen vor 3.96.0 auf den Plattformen Windows, Unix, NetWare, OS/2 und OpenVMS sowie auf allen Plattformen die Scanner unter der Version 4.5.4. Der Hersteller stellt erste Updates bereit; für die Sophos Anti-Virus Small Business Edition und andere betroffene Windows-Versionen sollen in den nächsten 14 Tagen aktualisierte Pakete folgen.

Quelle und Links : http://www.heise.de/newsticker/meldung/62193

[SiLæncer]

Der Hersteller von Anti-Viren-Software Sophos hat eine Schwachstelle in seinen Anti-Virus-Produkten gemeldet, mit der sich Schädlinge in Archiven am Scanner vorbeischmuggeln lassen. Laut Advisory des Herstellers untersucht die Scan-Engine bestimme ARJ-Archive nicht richtig, sodass sie darin enthaltene Viren nicht erkennt. Anwender der Desktop-Produkte laufen nach Meinung von Sophos dennoch nicht Gefahr, ihren PC mit Malware zu infizieren, da spätestens beim Auspacken durch den Anwender der On-Access-Scanner zuschlägt. An Virenscannern auf Mail-Gateways kann ein infiziertes Archiv aber durchaus vorbeikommen. Damit zeigt sich einmal mehr, dass Virenscanner an den Netzgrenzen allein nicht ausreichen, um Anwender und deren PCs zu schützen.

Von der Schwachstelle sind laut Fehlerreport unter Umständen sämtliche Produkte betroffen. Sophos hat aber bislang nur die fehlerbereinigten Versionen Anti-Virus für Windows 2000/XP/2003 Version 5.1.4, für Windows 95/98 Version 4.5.9, für Windows NT Version 4.5.9 und für Mac OS X Version 4.6.9 herausgegeben, die bereits über den automatischen Update verteilt werden.

Vergangene Woche stolperte bereits F-Secures Scanner über RAR- und ZIP-Archive und führte sogar eingeschleusten Code aus.

Siehe dazu auch:

    * Sophos ARJ file scanning vulnerability, Fehlerreport von Sophos
    * Sophos Anti-Virus for Windows: features in versions 5.1.4, 4.5.9 and 4.6.9 , Updatemeldung von Sophos


Quelle und Links : http://www.heise.de/newsticker/meldung/68906

[SiLæncer]

Eine Lücke in den Antivirenprodukten des Herstellers Sophos gefährdet unter Umständen die Systemsicherheit. Laut Fehlerbericht kann ein Angreifer über manipulierte CAB-Archive eigenen Code einschleusen und ausführen. Der Fehler tritt beim Auspacken und Scannen von Microsoft-Cabinet-Dateien mit einer fehlerhaften Anzahl von Ordnern im Header auf. Standardmäßig ist das Überprüfen von CAB-Archiven allerdings deaktiviert.

Betroffen sind alle Versionen von Sophos Anti-Virus für Windows, Mac OS, Unix, Linux, NetWare, OS/2, OpenVMS und DoS sowie die Small Business Editions für Windows and Mac OS. Obendrein enthalten PureMessage für Windows/Exchange, UNIX, Small Business Edition und der MailMonitor für Windows, Notes/Domino und Exchange die Lücke. Sophos stellt Updates bereit, die den Fehler ausbügeln sollen.

Siehe dazu auch:

    * Crafted Microsoft CAB file can allow arbitrary code to be run, Fehlermeldung von Sophos

Quelle und Links : http://www.heise.de/security/news/meldung/72871

[SiLæncer]

Immer mehr Hersteller erkennen, dass die herkömmlichen Schutzmaßnahmen von Antiviren-Software gegen Rootkits nicht ausreichen. Jetzt stellt auch der Antiviren-Hersteller Sophos ein Tool zum Aufspüren und Entfernen von Rootkits bereit. Das Programm sucht nach Prozessen, Registry-Einrägen und Dateien, die über die normalen Windows-API-Aufrufe nicht angezeigt werden. Eine Reinigung ist allerdings nur dann möglich, wenn das gefundene Rootkit eindeutig identifiziert werden konnte.

GUI des Anti-Rootkit-Tools

Neben einer grafischen Version stellt Sophos auch ein Programm bereit, das über die Kommandozeile zu bedienen ist. In einem ersten Funktionstest von heise Security erkannte das Anti-Rootkit-Programm eine angepasste Version des Sony-BMG-Rootkits. Der Kopierschutz versteckt Dateien, Verzeichnisse, Prozesse und Registry-Einträge, die mit einer bestimmten Zeichenfolge beginnen. Unter diesem Deckmantel können sich auch Viren verstecken, die dann von herkömmlicher Antiviren-Software oft nicht mehr gefunden werden. Ähnliche Tools bieten bereits Bitdefender und F-Secure an.

http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html

Quelle : www.heise.de

[SiLæncer]

Sophos hat seine Produkte mit einer so genannten Behavioral-Genotype-Protection-Erweiterung ausgestattet. Damit sollen Applikationen erkannt werden, die verdächtiges Verhalten an den Tag legen, also beispielsweise Autostart-Keys in der Registry anlegen und einen Port im Listening-Modus öffnen.

Anders als bei Konkurrenzprodukten wird der Code dabei jedoch nicht ausgeführt; das Behavioural Blocking ist eine reine Erweiterung der Scan-Engine und arbeitet größtenteils signaturbasiert. Laut Senior Technology Consultant Jens Freitag findet dabei auch eine statische Codeanalyse statt, die charakteristische Aktivitäten wie das Anlegen eines Registry-Keys erkennt und bewertet. Es ähnelt damit der ebenfalls statischen Bloodhound-Technik (PDF) von Symantec. Andere Hersteller wie Norman führen im Rahmen von Behaviour Blocking den fragwürdigen Code in einer so genannten Sandbox aus, um sein Verhalten zu analysieren. Wieder andere wie Bitdefender und Kaspersky überwachen das Live-System und schlagen Alarm, wenn ihnen das Verhalten eines Programms verdächtig erscheint.

Sophos Behavioral Genotype Protection ist somit eigentlich eher der klassischen Heuristik zuzuordnen und dürfte sich wie alle signaturbasierten Verfahren vergleichsweise einfach austricksen lassen. In ersten Stichprobentests von heise Security konnte es allerdings neue Schädlinge, für die noch keine eigene Signatur vorlag, identifizieren und versah sie mit Kennungen wie "Mal/Behav-007". Ob sich die Erkennungsraten damit langfristig verbessern, werden erst systematische Tests zeigen. Sophos liefert die Erweiterung Behavioral Genotype Protection durch den regulären Update-Mechanismus für alle Sophos-Scan-Engines aus. Ab Scan-Engine 2.38.2 und Threat-DB-Version 4.10 ist sie automatisch aktiv.

Quelle : www.heise.de

[SiLæncer]

Präparierte Archive in den Formaten Petite, RAR und CHM machen den Virenscannern von Sophos zu schaffen. Durch solche manipulierte Archive könnten die Scanner abstürzen oder möglicherweise eingeschleusten Schadcode ausführen.

Für die Virenscanner auf allen Plattformen ist ein Update verfügbar, das die Denial-of-Service-Schwachstelle beim Verarbeiten von Petite-Archiven mit einer großen Anzahl von großen Sektoren behebt. Erst im Dezember will Sophos einen Fehler korrigieren, durch den RAR-Archive die Antivirenprodukte in eine Endlosschleife schicken können. Ebenfalls im Dezember schließt der Hersteller Sicherheitslücken in den Verarbeitungsroutinen für Hilfe-Dateien im CHM-Format, durch die Angreifer aufgrund von Pufferüberläufen möglicherweise sogar Schadcode einschleusen könnten.

Laut Sophos werden die Schwachstellen noch nicht aktiv ausgenutzt, es handele sich daher um ein theoretisches Problem. Nutzer von Sophos-Virenscannern, die nicht die Small-Business-Version oder die Software EM Library einsetzen, kommen nicht in den Genuss automatischer Updates und sollten daher die neuen Versionen von Hand herunterladen und installieren.

Siehe dazu auch:

    * Advisory: vulnerabilities reported by iDefense, Sicherheitsmeldung von Sophos

Quelle und Links : http://www.heise.de/security/news/meldung/80198

[SiLæncer]

Die Antiviren-Programme für das neue Microsoft Betriebssystem Windows Vista machen sich noch rar: Gerade erst erschien die aktuelle Schädlingsbekämpfung von Symantec, da schlagen die Kollegen von Sophos Alarm. Die Sicherheitsexperten haben ihre Top 10 der gefährlichsten Malware-Bedrohungen für November veröffentlicht und dabei festgestellt, dass drei der schlimmsten Vertreter auch Vista befallen können.
   
Würmer mit Appetit auf Vista

Es handelt sich zwar nicht um explizite Vista-Schädlinge. Dennoch können die drei Würmer W32/Statio-Zip, W32/Netsky-P und W32/MyDoom-O Nutzern des neuen Betriebssystems gefährlich werden. Sie seien in der Lage, die Sicherheitsvorkehrungen des Microsoft-Produkts zu umgehen, teilt Sophos mit. Die drei Schadprogramme sollen den Sicherheitsexperten zufolge 39,7 Prozent der gesamten, momentan kursierenden Malware auf sich vereinen.

Ein bisschen PR

Alle drei Würmer verbreiten sich per E-Mail. Allerdings konnte Windows Mail, der Vista-Nachfolger von Outlook, die Bedrohung erkennen und bannen. Wer jedoch einen Web-Mail-Service nutzt und keine Antiviren-Software eines Drittanbieters installiert hat, geht ein Risiko ein, sich eine System-Infektion zu holen. Allerdings gibt es mit Windows Vista noch eine Möglichkeit, den Schaden zu begrenzen: Wenn User Account Control (UAC) aktiviert ist, haben die Nutzer nur eingeschränkte Rechte. Gerät einer an den Schädling und hat keine Administrator-Rechte, kann er schlimmstenfalls seinen eigenen Zugang lahm legen, nicht aber das ganze System. Ein bisschen PR macht Sophos mit dieser Meldung natürlich auch, schließlich ist es erst ein paar Tage her, dass auch Sophos die neue Version seines Anti-Virus Tools für Windows Vista präsentiert hat.

Quelle : www.onlinekosten.de

[Warpi]

<Allerdings gibt es mit Windows Vista noch eine Möglichkeit, den Schaden zu begrenzen: Wenn User Account Control (UAC) aktiviert ist, haben die Nutzer nur eingeschränkte Rechte. Gerät einer an den Schädling und hat keine Administrator-Rechte, kann er schlimmstenfalls seinen eigenen Zugang lahm legen, nicht aber das ganze System.>

Aha , eine der Neuerungen von Vista. M$ hat verstanden ...
Unter den Tuxen ist das selbstverständlich.

[SiLæncer]

Mit einer kurzen Sicherheitsnotiz weist Sophos darauf hin, dass Updates diverse Sicherheitsprobleme ihrer Anti-Virus-Produkte beheben, die iDefense und Tipping Point gemeldet hatten. Diese Updates seien in den letzten zwei Wochen bereits verteilt worden. Die Lücken hätten teilweise das Einschleusen und Ausführen von Code durch präparierte E-Mails ermöglichen können, es seien jedoch keine derartigen Exploits bekannt. Warum in diesem Kontext die bereits im Oktober gemeldeten und angeblich behobenen Probleme mit den Datei-Formaten Petite, RAR und CHM nochmals aufgeführt werden, erklärt Sophos nicht.

Siehe dazu auch:

    * iDefense and Tipping Point vulnerabilities now fixed von Sophos

Quelle und Links : http://www.heise.de/security/news/meldung/82294

[SiLæncer]

Ein fehlerhaftes Signaturupdate sorgt dafür, dass die AV-Engine von Sophos gutartige Dateien sehr häufig für Viren hält. Laut Sophos sind vor allem Programme mit eingebautem Update-Mechanismus betroffen. In dem inzwischen auf 67 Seiten angewachsenen Thread im Kundenforum finden sich reichlich Beispiele wie etwa die Update-Agenten von Java, Flash und dem Adobe Reader. Sogar seinen eigenen Update-Service hält die Sophos-Software für bösartig. Die Update-Tools werden als Shh/Updater-B erkannt.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Sophos bietet seinen Linux-Virenscanner seit kurzem auch gratis an. Er schützt nicht nur Desktops, sondern auch Server. Letztere werden von Online-Ganoven gerne als Virenschleudern für Windows-Malware missbraucht.

Sophos bietet sein Antivirus for Linux seit kurzem auch in einer kostenlosen Version an. Die Virenschutz-Software erkennt nicht nur Linux-Schädlinge, sondern auch Malware, die es auf Windows, Mac OS X oder Android abgesehen hat. Der Einsatz auf Servern ist ausdrücklich erlaubt – und kann durchaus sinnvoll sein. So kann man zum Beispiel verhindern, dass der eigene Webserver als Virenschleuder für Windows-Schädlinge missbraucht wird.

Der ganze Artikel

Quelle : www.heise.de