DVB-Cube BETA <<< Das deutsche PC und DVB-Forum >>>
PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 04 Oktober, 2005, 15:28
-
In den Virenscannern von Bitdefender wurde eine Schwachstelle bei der Verarbeitung von Verzeichnis- und Dateinamen entdeckt, durch die möglicherweise Code eingeschleust und ausgeführt werden kann. Es handelt sich bei dem Fehler laut SecuBox Labs um eine so genannte "Format-String"-Schwachstelle im Logging-Modul der Software, durch die über Zeichenketten wie %s oder %f Puffer der Anwendung überschrieben werden könnten.
Betroffen sind dem Advisory zufolge die Bitdefender-Versionen 9.0, 8.0 sowie 7.2 -- möglicherweise auch ältere Versionen. Der Fehler beschränkt sich nicht auf die Antivirus-Lösungen, sondern ist auch in Bitdefender Standard und Professional vorhanden. Bis der Hersteller aktualisierte Programmpakete bereitstellt, sollte die Logging-Funktion abgeschaltet sowie darauf geachtet werden, dass die zu scannenden Dateien und Verzeichnisse keine "Format-Strings" im Namen enthalten.
Siehe dazu auch:
* Security Advisory von SecuBox Labs
* Update-Download-Seite von Bitdefender
Quelle und Links : http://www.heise.de/newsticker/meldung/64554
-
Update:
Bitdefender hat heute ein Advisory zu diesem Problem veröffentlicht, demzufolge bereits am 26.9. Fixes für BitDefender v7.x, v8.x und BitDefender 9 Internet Security veröffentlicht wurden, für die Versionen BitDefender 9 Professional Plus und BitDefender 9 Standard geschah dies heute. Diese Updates sollten über die eingebaute Update-Funktion automatisch eingespielt werden.
Siehe dazu auch:
* Security Advisory von SecuBox Labs
* Filename Format String Vulnerability von Bitdefender
Quelle und Links : http://www.heise.de/security/news/meldung/64554