Antivirus and Security Software from Sophos

Online-Support

Produktpflege

Kontakt

Support-Services

Hinweis: In Sophos Produkten mit Sophos Detection Engine wurde ein missgebildetes CAB-Archiv erkannt

Dieser Artikel befasst sich mit einer Schwachstelle in Sophos Sicherheitsprodukten mit Sophos Anti-Virus Detection Engine, aufgrund derer durch Malware infizierte Archivdateien übersehen werden. Bislang konnte noch kein Missbrauch der Schwachstelle nachgewiesen werden.

Betroffene Sophos Produkte und Versionsnummern
Sophos Anti-Virus für Windows 2000+ (Version 7.6.7 und abwärts)
Sophos Anti-Virus für Windows NT/95/98 (Version 4.7.22 und abwärts)
Sophos Anti-Virus für OS X (Version 4.9.22/7.01 und abwärts)
Sophos Anti-Virus für UNIX (Versionen 7.0.9 bzw. 4.41.9 und abwärts)
Sophos Anti-Virus für Linux (Version 6.6.2 und abwärts)
Sophos Anti-Virus für Netware (Version 4.41.9 und abwärts)
Sophos E-Mail Appliance (Version 3.1.3.1 und abwärts)
Sophos Web Appliance (Version 2.1.18 und abwärts)
PureMessage für UNIX (Version 5.5.4 und abwärts)

Sicherheitslücke "Malformed Archive File Bypass"

Vom Sophos Produkt gelesene, von Hand erstellte CAB-Archive werden nicht richtig von der Virus Engine verarbeitet, sodass die Archivdatei nicht vollständig von der Virus Engine gescannt wird.

Ja nachdem, ob der Scan auf einem Gateway oder Endpoint durchgeführt wird, macht sich die Schwachstelle anders bemerkbar:

  • Auf Endpoints wird die Malware beim Scan erfasst, da die entsprechende Datei extrahiert bzw. geöffnet wurde. Wenn Sie uns ein Sample dieser Malware einsenden, können wir auch einen entsprechenden Erkennungsmechanismus programmieren.
  • Auf Gateways wird die Malware nicht erfasst, doch kann immer noch von der Antiviren-Lösung auf den Endpoints erkannt werden.

Vorgehensweise

Diese Schwachstelle wurde mit den neuesten Versionen der betroffenen Produkte behoben. Lizenzinhaber der neuesten Version von Sophos Anti-Virus und PureMessage für Microsoft Exchange haben diese Updates zwsichen dem 20. und 28. Mai 2009 erhalten. Lizenzinhaber von Sophos Web und E-Mail Appliances und PureMessage für UNIX haben die Updates zwischen dem 20. Mai und 9. Juni 2009 erhalten.

So finden Sie Ihre Softwareversion heraus:

  1. Überprüfen Sie die Version des Sophos Produkts.

  2. Wenn Sie nicht über eine der aufgelisteten Produktversionen verfügen, sollten Sie von Ihrer Software ein Update durchführen. So wird gewährleistet, dass Sie Virus Engine Version 2.87.1 oder höher erhalten:

    • Sophos Anti-Virus für Windows 2000+, Version 7.6.8
    • Sophos Anti-Virus für Windows NT/95/98, Version 4.7.23
    • Sophos Anti-Virus für Mac OS X, Version 4.9.23/7.02
    • Sophos Anti-Virus für Linux, Version 6.6.3
    • Sophos Anti-Virus für UNIX, Version 7.0.10
    • Sophos Anti-Virus für Unix und Netware, Version 4.42.0
    • Sophos E-Mail Appliance, Version 3.1.4.1
    • Sophos Web Appliance, Version 3.0.0
    • Pure Message für Unix, Version 5.5.5

Vielen Dank an Thierry Zoller (G-SEC) für die Entdeckung und Bekanntgabe dieser Schwachstelle.

Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.