Risque
- Contournement de la protection antivirale.
Systèmes affectés
Plusieurs antivirus sont affectés par cette vulnérabilité :
- eTrsut antivirus
- Kaspersky antivirus ;
- Sophos antivirus ;
- McAfee ;
- NOD32 ;
- RAV antivirus.
Pour plus de détails sur les versions des systèmes affectées, se référer au bulletin de sécurité de l'éditeur (cf. section Documentation).
Résumé
Une vulnérabilité présente lors du traitement des fichiers au format zip par les antivirus permet à un utilisateur mal intentionné de contourner la protection apportée par ces antivirus.
Description
L'information sur les fichiers compressés à l'intérieur d'un fichier au format zip est stockée dans un en-tête local (créé avant la compression de chaque fichier) et un en-tête global (créé après la compression de tous les fichiers).
Un utilisateur mal intentionné peut changer la taille des fichiers à l'intérieur des entêtes local et global afin de contourner la protection antivirale apportée par l'antivirus.
Contournement provisoire
Filtrer les messages contenant une pièce jointe au format zip.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Pour l'antivirus NOD32 la vulnérabilité a été corrigée dans la version 1.020 du module archive-support disponible lors de la mise à jour des signatures de virus.
Documentation
- Bulletin de sécurité de iDefense du 18 octobre 2004 :
http://www.idefense.com/application/poi/display?id=153&type=vulnerabilities
- Bulletin de sécurité Sophos du 19 octobre 2004 :
http://sophos.com/support/knowledgebase/article/2074.html
- Bulletin de sécurité Mcafee (Utilisateur) :
http://download.mcafee.com/uk/updates/updates.asp
- Bulletin de sécuité Mcafee (Entreprise) :
http://www.mcafeesecurity.com/uk/downloads/updates/dat.asp?id=1
- Bulletin de sécurité Computer Associates :
http://supportconnectw.ca.com/public/ca_common_docs/arclib_vuln.asp
- Référence CVE CAN-2004-0937 concernant la vulnérabilité sur Sophos antivirus :
https://www.cve.org/CVERecord?id=CAN-2004-0937
- Référence CVE CAN-2004-0936 concernant la vulnérabilité sur RAV antivirus :
https://www.cve.org/CVERecord?id=CAN-2004-0936
- Référence CVE CAN-2004-0935 concernant la vulnérabilité sur NOD32 antivirus :
https://www.cve.org/CVERecord?id=CAN-2004-0935
- Référence CVE CAN-2004-0934 concernant la vulnérabilité sur Kaspersky antivirus :
https://www.cve.org/CVERecord?id=CAN-2004-0934
- Référence CVE CAN-2004-0933 concernant la vulnérabilité sur eTrust de Computer Associates :
https://www.cve.org/CVERecord?id=CAN-2004-0933
- Référence CVE CAN-2004-0932 concernant la vulnérabilité sur Mcafee antivirus :
https://www.cve.org/CVERecord?id=CAN-2004-0932