Eine schwere Sicherheitslücke im Virenschutzprogramm NOD32 von Eset wurde jetzt von Googles Project Zero veröffentlicht, nachdem dieser Hersteller sie eigentlich schon geschlossen hatte.
Sie kann von Angreifern missbraucht werden, um Schadcode mit Systemrechten auszuführen.
Davon betroffen sind Versionen von NOD32 auf den Betriebssystemen Windows, OS X und Linux, da die fehlerhafte Sandbox der Programme auf allen Betriebssystemen ähnlich funktioniert.
Die Würmer kommen über die Sandbox
Der Fehler liegt in der Sandbox, mit der NOD32 ausführbare Archive eingekapselt überprüft. Sie werden in dieser vermeintlich sicheren Umgebung erst einmal ausgeführt, um zu sehen, ob der entpackte Code mittels der bekannten Viren-Signaturen als bösartig identifiziert werden kann.
Dummerweise hat diese Funktion von NOD32 eklatante Mängel, so dass ein Angreifer den Prozess übernehmen kann und dadurch sogar Systemrechte erhält. Ist der Hintegrund-Scan aktiviert, muss ein Angreifer nur noch ein entsprechendes Archiv unterschieben, denn dann greift die verwundbare Sandbox direkt.
Update ist dringend nötig
Das Abschalten des Hintergrundscans von Eset schränkt die Gefährlichkeit des Angriffs zwar ein, weil der Benutzer die selbstentpackenden Archive dann manuell ausführen muss, allerdings warnt NOD32 recht eindringlich immer wieder davor, diese Funktion abzuschalten. Betroffen sind die folgenden Eset-Produkte:
- ESET NOD32 Antivirus für Windows
- ESET Smart Security für Windows
- ESET Endpoint Security für Windows und OS X
- ESET Cyber Security Pro für OS X
- ESET NOD32 für Linux
- ESET NOD32 Business Edition
Wer eines dieser Programme nutzt, sollten sicherstellen, dass sein Scanner mit allen verfügbaren Updates versorgt ist. Das Update 11824 von Eset schließt diese Lücke.
