安全研究

安全漏洞
多家防病毒厂商软件病毒探测绕过漏洞

发布日期:2004-10-15
更新日期:2004-10-20

受影响系统:
McAfee VirusScan 6.0
Sophos Anti-Virus 3.78d
Sophos Anti-Virus 3.78
Computer Associates eTrust Antivirus EE 7.0
Computer Associates eTrust Antivirus EE 6.0
Kaspersky Labs Kaspersky Antivirus
RAV AntiVirus RAV AntiVirus
Eset NOD32
描述:
CVE(CAN) ID: CVE-2004-0932,CVE-2004-0933,CVE-2004-0934,CVE-2004-0937,CVE-2004-0935,CVE-2004-0936

McAfee,Computer Associates, Kaspersky, Sophos, Eset and RAV是一些反病毒软件。

多家防病毒厂商软件在处理.zip文件时存在问题,远程攻击者可以利用这个漏洞夹带恶意代码绕过反病毒软件的检查。

问题存在于对.zip档头字段的解析,.zip文件格式存储压缩文件的信息分两个部分,一个是本地(local)头字段,一个是全局(global)头字段。本地头字段数据存在于压缩数据文件之前,而全局字段存在于.zip档最后。攻击者可以修改本地和全局头字段信息中归档文件未压缩字节大小值而不影响功能,但多家防病毒厂商软件对这样的档文件就不能很好的处理,如果在压缩负载中带有恶意代码,就不能被检测到。

<*来源:iDEFENSE Security Advisory (labs@idefense.com
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109812045624082&w=2
*>

建议:
厂商补丁:

Kaspersky Labs
--------------
目前还没有提供,升级包将在不久推出。

McAfee
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

Home (Retail) Users:
http://download.mcafee.com/uk/updates/updates.asp

Business (Enterprise) Users:
http://www.mcafeesecurity.com/uk/downloads/updates/dat.asp?id=1

Computer Associates

http://supportconnectw.ca.com/public/ca_common_docs/arclib_vuln.asp.

Eset
----
可使用Automatic Virus-Signatures Update功能进行升级。

浏览次数:3572
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障