image

Kritiek lek in virusscanner ClamAV maakt remote code execution mogelijk

donderdag 16 februari 2023, 11:44 door Redactie, 10 reacties

De makers van de gratis opensource-virusscanner ClamAV hebben een belangrijke beveiligingsupdate uitgebracht die onder andere een kritieke kwetsbaarheid verhelpt waardoor remote code execution mogelijk is. Een aanvaller zou zo via de antivirussoftware het systeem kunnen overnemen. Het probleem is aanwezig in de HFS+ parser van de virusscanner.

Door ClamAV een speciaal geprepareerde HFS+ partitie te laten scannen kan een heap buffer overflow write ontstaan en kan een aanvaller willekeurige code met rechten van de ClamAV-scanner op het systeem uitvoeren. De impact van de kwetsbaarheid, aangeduid als CVE-2023-20032, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het beveiligingslek is aanwezig in ClamAV 1.0.0 en eerder, versie 0.105.1 en eerder en versie 0.103.7. Gebruikers wordt aangeraden om te updaten naar ClamAV 0.103.8, 0.105.2 of 1.0.1.

Reacties (10)
16-02-2023, 11:47 door Anoniem
ik heb het idee dat Bitdefender en Kaspersky voor Mac OS alledrie dezelfde kern hebben. Indien dit klopt ben ik benieuwd of deze andere scanners hetzelfde lek hebben.
16-02-2023, 15:04 door Anoniem
Waarom een 9.8? Hoe kan je zomaar een HFS+ partie gescanned laten worden?
16-02-2023, 16:06 door Anoniem
Een aanvaller zou zo via de antivirussoftware het systeem kunnen overnemen
Dat is niet per se waar . Dat geldt alleen als clamav als root draait en dat moet je dus niet doen. Beter is om helemaal geen antivirus te gebruiken. Veel veiliger.
16-02-2023, 16:45 door Anoniem
Door Anoniem:
Een aanvaller zou zo via de antivirussoftware het systeem kunnen overnemen
Dat is niet per se waar . Dat geldt alleen als clamav als root draait en dat moet je dus niet doen. Beter is om helemaal geen antivirus te gebruiken. Veel veiliger.

Als je een systeem volledig wilt scannen MOET je root rechten hebben anders kan je heel veel files nooit benaderen.
16-02-2023, 21:39 door Anoniem
Dank voor de waarschuwing redactie!
Ik heb de oude kwetsbare versie meteen van het systeem (Ubuntu) verwijderd.

Eerst de oude versie opgezocht met Synaptic Pakketbeheer en de versie volledig verwijderd.
Daarna de nieuwe .deb versie in de downloadmap gedownload en via right-click geinstalleerd op het systeem.
ClamTk is de interface en die kan men laten staan.

In Synaptic Pakketbeheer nakijken of de nieuwe versie inderdaad is geinstalleerd.
Eventueel virusdefinities bijwerken en klaar.
17-02-2023, 09:23 door Anoniem
HFS+, dus apple werkt met de NSA samen om backdoors te maken?
17-02-2023, 09:30 door Anoniem
Door Anoniem: Waarom een 9.8? Hoe kan je zomaar een HFS+ partie gescanned laten worden?

DMG disk image file (de standaard om software of vaak wat dan ook voor de mac rond te sturen) met HFS+ file systeem.
17-02-2023, 10:39 door Anoniem
Door Anoniem:
Door Anoniem:
Een aanvaller zou zo via de antivirussoftware het systeem kunnen overnemen
Dat is niet per se waar . Dat geldt alleen als clamav als root draait en dat moet je dus niet doen. Beter is om helemaal geen antivirus te gebruiken. Veel veiliger.

Als je een systeem volledig wilt scannen MOET je root rechten hebben anders kan je heel veel files nooit benaderen.

ClamAV kan ook gebruikt worden op een mailserver die mail attachements scant (zoals een zipfile met een HFS+ partitie).
ClamAV hoeft dus helemaal niet als root draaien in alle omstandigheden.
17-02-2023, 14:40 door Anoniem
Door Anoniem:
Een aanvaller zou zo via de antivirussoftware het systeem kunnen overnemen
Dat is niet per se waar . Dat geldt alleen als clamav als root draait en dat moet je dus niet doen. Beter is om helemaal geen antivirus te gebruiken. Veel veiliger.

Tuurlijk, veel veiliger om geen virusscanner te gebruiken, tis maar net hoe je het bekijkt.

Netflix stopt met gebruik van anti-virussoftware
woensdag 26 augustus 2015, 17:32 door Redactie, 10 reacties

Videostreamingdienst Netflix heeft besloten om geen anti-virussoftware meer op de computers van personeel te installeren. Het contract dat het bedrijf met een anti-virusbedrijf had is opgezegd. "Anti-virus is dood", zo laat een beveiligingsarchitect van Netflix tegenover zakenblad Forbes weten.

STRANGER THINGS Netflix warning for ALL users that your account may have been hacked – how to check now

Gelukkig wordt er niet door iedereen zo over gedacht.
23-02-2023, 13:29 door _R0N_
Door Anoniem:
Een aanvaller zou zo via de antivirussoftware het systeem kunnen overnemen
Dat is niet per se waar . Dat geldt alleen als clamav als root draait en dat moet je dus niet doen. Beter is om helemaal geen antivirus te gebruiken. Veel veiliger.

Je kop in het zand steken is zeker de oplossing voor alles.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.