Mehrere Schwachstellen in iAntiVirus

Titel

Mehrere Schwachstellen in iAntiVirus

Programm

PC Tools iAntiVirus für Mac OS X
http://www.iantivirus.com/

Getestete Version

1.35, Engine Version 1.0.0.10

auf einem deutschen Mac OS X 10.5 mit folgenden Voreinstellungen:

Beschreibung

  1. .sit- und .dmg-Archive werden nicht gescannt
    Die Scanfunktion und der Online-Scanner OnGuard durchsuchen keine .sit- und .dmg-Archive.
    Auswirkungen:
    Schadsoftware kann ohne Erkennung durch den Virenscanner aus dem Internet heruntergeladen oder von einem USB-Stick kopiert werden.
    In .sit-Archiven enthaltene Schadsoftware wird beim manuellen Entpacken des Archivs von OnGuard erkannt. Schadsoftware in Diskimages wird nur beim gezielten Scan des gemounteten Diskimages erkannt.
    In Diskimages enthaltene Schadprogramme können nach dem Mounten problemlos gestartet werden, erst beim Kopieren auf die Festplatte schlägt OnGuard Alarm (getested mit MacSmurf, das von iAntiVirus als 'Hacktool.OSX.MacSmurf' erkannt wird).
  2. Probleme mit Sonderzeichen in Dateinamen
    Die Scanfunktion, OnGuard und die Quarantäneverwaltung kommen bei Verzeichnisnamen mit bestimmten Sonderzeichen darin, z.B. einem "ƒ", aus dem Tritt: Gescannt werden die Verzeichnisse gar nicht, reinkopierte Dateien werden von OnGuard nicht erkannt. Packt man in so einem Verzeichnis ein Archiv z.B. mit den EICAR-Testdateien aus, wird der Schädling zwar von OnGuard erkannt, kann aber weder aus der Quarantäne zurück ins Verzeichnis gelegt noch gelöscht werden.
    Auswirkungen:
    False Positives sind unwiederbringlich verloren, evtl. lässt sich so auch Schadsoftware an iAntiVirus vorbeischleusen. Sonderzeichen kenn ich nicht
  3. Keine Benutzertrennung in der Quarantäne-Verwaltung
    Alle in Quarantäne gesteckten Dateien werden im gleichen Bereich verwaltet. Jeder Benutzer kann die Quarantäne-Dateien der anderen Benutzer, einschließlich des Admins, zurücklegen oder löschen.
    Auswirkungen:
    Ein normaler Benutzer kann Schadsoftware anderer Benutzer aus der Quarantäne entlassen (getestet mit dem iWorks-Trojaner, der vom Admin installiert und in Quarantäne gesteckt und vom normalen Benutzer zurückgelegt wurde).
    Hinzu kommt, dass das Logfile der History-Funktion keine Informationen über den Benutzer enthält, der eine Aktion ausgelöst hat, und auch von jedem Benutzer gelöscht werden kann.
  4. OnGuard schützt nur einen Benutzer (oder manchmal auch mehr)
    Sind mehrere Benutzer angemeldet, ist weder auf OnGuard noch auf die Anzeige Verlass.
    Ein Beispiel: Der Admin ist angemeldet, "Protect my Mac" ist eingeschaltet, wird dem Administrator auch so angezeigt und gibt auch eine Meldung aus, wenn eine Datei in die Quarantäne verschoben wird. Jetzt meldet sich (bei aktiviertem 'schnellen Benutzerwechsel') ein anderer Benutzer an und kopiert eine Virendatei auf den Rechner. Die Dateien verschwinden sofort, es gibt keine Fehlermeldung. OnGuard funktioniert in diesem Fall und schiebt die Dateien in den Quarantäne-Ordner, gibt aber keine Warnung aus. Laut Anzeige ist es für diesen Benutzer auch ausgeschaltet.
    Diese Richtung scheint immer zu funktionieren, machmal funktionierte das auch umgekehrt, d.h. ein normaler Benutzer war angemeldet, dort war OnGuard aktiv, und beim danach angemeldeten Admin verschwanden die Dateien kommentarlos in der Quarantäne.
  5. Zugriffsrechte werden ignoriert
    Wird von einem normalen Benutzer ein normaler Scan gestartet, werden das System-, Library- und Programmverzeichnis und die Verzeichnisse aller Benutzer einschließlich des Administrators durchsucht. Zugriffsrechte werden ignoriert

Lösung

Keine

Update 12.03.2009:
Die zuständige Agentur hat den Hersteller um eine erneute Stellungnahme gebeten.

Gefunden von

Carsten Eilers

Original-Advisory

http://www.ceilers-it.de/advisories/iantivirus_de.html
(auch als englische Version)

Version

1 - 10.03.2009 - Advisory veröffentlicht
2 - 12.03.2009 - Der Hersteller prüft die Schwachstellen erneut