Risque
- Contournement de la protection antivirale
Systèmes affectés
Plusieurs antivirus sont affectés par cette vulnérabilité :
- eTrsut antivirus
- Kaspersky antivirus ;
- Sophos antivirus ;
- McAfee ;
- NOD32 ;
- RAV antivirus.
Pour plus de détails sur les versions des systèmes affectées, se référer au bulletin de sécurité de l'éditeur (cf. section Documentation).
Résumé
Une vulnérabilité présente lors du traitement des fichiers au format zip par les antivirus permet à un utilisateur mal intentionné de contourner la protection apportée par ces antivirus.
Description
L'information sur les fichiers compressés à l'intérieur d'un fichier au format zip est stockée dans un en-tête local (créé avant la compression de chaque fichier) et un en-tête global (créé après la compression de tous les fichiers).
Un utilisateur mal intentionné peut changer la taille des fichiers à l'intérieur des entêtes local et global afin de contourner la protection antivirale apportée par l'antivirus.
Contournement provisoire
Filtrer les messages contenant une pièce jointe au format zip.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Pour l'antivirus NOD32 la vulnérabilité a été corrigée dans la version 1.020 du module archive-support disponible lors de la mise à jour des signatures de virus.
Documentation
- Bulletin de sécuité Mcafee (Entreprise) : http://www.mcafeesecurity.com/uk/downloads/updates/dat.asp?id=1
- Bulletin de sécurité Computer Associates : http://supportconnectw.ca.com/public/ca_common_docs/arclib_vuln.asp
- Bulletin de sécurité Mcafee (Utilisateur) : http://download.mcafee.com/uk/updates/updates.asp
- Bulletin de sécurité Sophos du 19 octobre 2004 : http://sophos.com/support/knowledgebase/article/2074.html
- Bulletin de sécurité de iDefense du 18 octobre 2004 : http://www.idefense.com/application/poi/display?id=153&type=vulnerabilities