Een informaticastudent heeft in de anti-virussoftware van F-Secure een ernstig beveiligingslek ontdekt waardoor een aanvaller in het ergste geval het systeem van gebruikers met nauwelijks enige interactie had kunnen overnemen. Het lek bevond zich in de manier waarop F-Secure met RAR-bestanden omging.
Door het scannen van een kwaadaardig RAR-bestand had een aanvaller willekeurige code kunnen uitvoeren. De kwetsbaarheid was op verschillende manieren te misbruiken. Bijna alle anti-virussoftware scant automatisch bestanden in de achtergrond. Archiefbestanden worden echter niet standaard gescand. In dit geval zou het dan ook niet voldoende zijn geweest om het doelwit een e-mail met een kwaadaardig RAR-bestand te sturen, tenzij gebruikers zelf een scan zouden uitvoeren of het scannen van archiefbestanden hadden ingeschakeld.
De informaticastudent, die zichzelf "landave" noemt, ontdekte ook nog een andere aanvalsvector. De virusscanners van F-Secure onderscheppen http-verkeer en scannen automatisch bestanden tot 5MB in omvang. Deze automatische scan controleert ook archiefbestanden. Door het doelwit een webpagina te sturen of te laten bezoeken zou op deze manier de exploit kunnen worden uitgevoerd.
De kwetsbaarheid, die de informaticastudent ook in het archiveringsprogramma 7-Zip ontdekte, werd op 11 maart aan F-Secure gemeld. Op 22 mei kwam F-Secure met een update gevolgd door een advisory op 1 juni. F-Secure heeft een programma voor het belonen van onderzoekers die kwetsbaarheden melden. Of, wanneer en wat voor beloning de informaticastudent krijgt is nog niet bekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.