[VULNERABILITE] Tous les anti-virus compromis
ravana
Messages postés
124
Statut
Contributeur
-
ravana Messages postés 124 Statut Contributeur -
ravana Messages postés 124 Statut Contributeur -
Paris (Mal-Au-Net) - Le CERTA -Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques - a émis une alerte concernant une vulnérabilité affectant TOUS les ordinateurs.
Nous conseillons de mettre à jour les produits relatifs à la sécurité de vos ordinateurs.
Extrait du Bulletin d'Alerte du Certa
[quote][b]Systèmes affectés[/b]
* VirusBlokAda VBA32
* Ukrainian Antiviral Center Ukrainian National Antivirus
* Symantec Norton Antivirus
* Sophos Anti-Virus
* Softwin BitDefender
* Panda Antivirus
* Panda ActiveScan
* Norman Virus Control
* McAfee VirusScan
* Kaspersky Labs (tous produits)
* Ikarus
* Hacksoft TheHacker
* H+BEDV AntiVir
* Fortinet Antivirus
* F-Secure Anti-Virus
* Eset Software NOD32 Antivirus
* Dr.Web
* Computer Associates Vet Antivirus
* Computer Associates eTrust EZ Antivirus
* Clam Anti-Virus ClamAV
* Cat Computer Services Quick Heal Antivirus
* AVG AVG Anti-Virus
* Avast! Antivirus
* ArcaBit ArcaVir
[b]Résumé[/b]
Une vulnérabilité dans le traitement des archives affecte la quasi-totalité des antivirus du marché. Ainsi, les antivirus ne peuvent repérer un virus inséré dans une archive malicieusement construite.
[b]Description
[/b]La plupart des antivirus du marché sont vulnérables à un contournement de politique de sécurité.
En effet, il est possible grâce à un fichier archive malicieusement construit, de passer outre le système de filtrage de l'antivirus. Ainsi, un virus contenu dans ce fichier archive sera acheminé vers son destinataire sans traitement préalable par une passerelle antivirus.
Une fois arrivé sur le poste utilisateur, le fichier virus contenu dans l'archive doit être extrait puis exécuté par l'utilisateur pour corrompre la machine.
[b]Contournement provisoire[/b]
Tant que le virus n'est pas extrait de l'archive sur le poste client cible, aucun code malveillant n'est exécuté. Il convient donc de respecter les règles de comportement élémentaires d'utilisation de la messagerie, rappelés ci-dessous :
* mettre à jour son antivirus ;
* ne pas ouvrir les mails à caractère douteux ;
* ne jamais ouvrir les fichiers archives en cas de doute sur leur provenance ;
* vérifier systématiquement le contenu extrait des archives ;
* Dans le cadre de la défense en profondeur, privilégier systématiquement l'emploi d'un antivirus sur la passerelle de messagerie associé à un antivirus différent sur les postes de travail.
[b]Solution
[/b]Aucune solution n'a été communiquée pour l'instant par les éditeurs d'antivirus.[/quote]
[url=http://forum.mal-au-net.com/viewtopic.php?p=362#362Lire l'article d'origine ...[/url]
[url=http://www.certa.ssi.gouv.fr/site/CERTA-2005-ALE-014/index.html]Lire l'Alerte du CERTA ...[/url]
[url=http://www.securityfocus.com/bid/15046]Liste des versions d'anti-virus vulnérable ...[/url]
Réponse et de Traitement des Attaques informatiques - a émis une alerte concernant une vulnérabilité affectant TOUS les ordinateurs.
Nous conseillons de mettre à jour les produits relatifs à la sécurité de vos ordinateurs.
Extrait du Bulletin d'Alerte du Certa
[quote][b]Systèmes affectés[/b]
* VirusBlokAda VBA32
* Ukrainian Antiviral Center Ukrainian National Antivirus
* Symantec Norton Antivirus
* Sophos Anti-Virus
* Softwin BitDefender
* Panda Antivirus
* Panda ActiveScan
* Norman Virus Control
* McAfee VirusScan
* Kaspersky Labs (tous produits)
* Ikarus
* Hacksoft TheHacker
* H+BEDV AntiVir
* Fortinet Antivirus
* F-Secure Anti-Virus
* Eset Software NOD32 Antivirus
* Dr.Web
* Computer Associates Vet Antivirus
* Computer Associates eTrust EZ Antivirus
* Clam Anti-Virus ClamAV
* Cat Computer Services Quick Heal Antivirus
* AVG AVG Anti-Virus
* Avast! Antivirus
* ArcaBit ArcaVir
[b]Résumé[/b]
Une vulnérabilité dans le traitement des archives affecte la quasi-totalité des antivirus du marché. Ainsi, les antivirus ne peuvent repérer un virus inséré dans une archive malicieusement construite.
[b]Description
[/b]La plupart des antivirus du marché sont vulnérables à un contournement de politique de sécurité.
En effet, il est possible grâce à un fichier archive malicieusement construit, de passer outre le système de filtrage de l'antivirus. Ainsi, un virus contenu dans ce fichier archive sera acheminé vers son destinataire sans traitement préalable par une passerelle antivirus.
Une fois arrivé sur le poste utilisateur, le fichier virus contenu dans l'archive doit être extrait puis exécuté par l'utilisateur pour corrompre la machine.
[b]Contournement provisoire[/b]
Tant que le virus n'est pas extrait de l'archive sur le poste client cible, aucun code malveillant n'est exécuté. Il convient donc de respecter les règles de comportement élémentaires d'utilisation de la messagerie, rappelés ci-dessous :
* mettre à jour son antivirus ;
* ne pas ouvrir les mails à caractère douteux ;
* ne jamais ouvrir les fichiers archives en cas de doute sur leur provenance ;
* vérifier systématiquement le contenu extrait des archives ;
* Dans le cadre de la défense en profondeur, privilégier systématiquement l'emploi d'un antivirus sur la passerelle de messagerie associé à un antivirus différent sur les postes de travail.
[b]Solution
[/b]Aucune solution n'a été communiquée pour l'instant par les éditeurs d'antivirus.[/quote]
[url=http://forum.mal-au-net.com/viewtopic.php?p=362#362Lire l'article d'origine ...[/url]
[url=http://www.certa.ssi.gouv.fr/site/CERTA-2005-ALE-014/index.html]Lire l'Alerte du CERTA ...[/url]
[url=http://www.securityfocus.com/bid/15046]Liste des versions d'anti-virus vulnérable ...[/url]
A voir également:
- [VULNERABILITE] Tous les anti-virus compromis
- Mot de passe compromis - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Norton anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Virus mcafee - Accueil - Piratage
6 réponses
salut
Ca avait commencé par KAV il y a quelques jours, mais finalement je vois que tous les av sont touchés par cette vulnérabilité.
merci pour l'info
a+
Ca avait commencé par KAV il y a quelques jours, mais finalement je vois que tous les av sont touchés par cette vulnérabilité.
merci pour l'info
a+
Sans souci, c'est avec plaisir !
Si vous voulez d'autre niuz en ce qui concerne la sécurité informatique, n'hésitez par à faire un tour sur mal-au-net.com car je n'aurai pas toujours la présence d'esprit ed venir poster ce genre d'info ici... par manque de temps aussi !
à bientôt
Si vous voulez d'autre niuz en ce qui concerne la sécurité informatique, n'hésitez par à faire un tour sur mal-au-net.com car je n'aurai pas toujours la présence d'esprit ed venir poster ce genre d'info ici... par manque de temps aussi !
à bientôt
Pouark !
Une idée de la librairie qui pose problème ?
sûrement quelquechose lié à zlib, zip ou cab ?
La plupart de ces logiciels utilisent les mêmes librairies.
Une idée de la librairie qui pose problème ?
sûrement quelquechose lié à zlib, zip ou cab ?
La plupart de ces logiciels utilisent les mêmes librairies.
C'est dut à une mauvaise gestion des fichiers compressés....
le PoC est sur SecurityFocus, amuse toi ;)
le PoC est sur SecurityFocus, amuse toi ;)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ah oui, je n'avais pas vu l'onglet sur la page securityfocus.
Visiblement, c'est lié aux librairiee de décompression RAR, CAB et ARJ.
Comme tout le monde utilise les mêmes librairies, ce n'est pas surprenant :-)
RAR --> librairie fournie par RARSoft.
CAB --> librairie fournie par Microsoft
ARJ ---> librairie fournie par ARJ Software.
Visiblement, c'est lié aux librairiee de décompression RAR, CAB et ARJ.
Comme tout le monde utilise les mêmes librairies, ce n'est pas surprenant :-)
RAR --> librairie fournie par RARSoft.
CAB --> librairie fournie par Microsoft
ARJ ---> librairie fournie par ARJ Software.
