Risque

  • Contournement de la protection antivirale

Systèmes affectés

Plusieurs antivirus sont affectés par cette vulnérabilité :

  • eTrsut antivirus
  • Kaspersky antivirus ;
  • Sophos antivirus ;
  • McAfee ;
  • NOD32 ;
  • RAV antivirus.

Pour plus de détails sur les versions des systèmes affectées, se référer au bulletin de sécurité de l'éditeur (cf. section Documentation).

Résumé

Une vulnérabilité présente lors du traitement des fichiers au format zip par les antivirus permet à un utilisateur mal intentionné de contourner la protection apportée par ces antivirus.

Description

L'information sur les fichiers compressés à l'intérieur d'un fichier au format zip est stockée dans un en-tête local (créé avant la compression de chaque fichier) et un en-tête global (créé après la compression de tous les fichiers).

Un utilisateur mal intentionné peut changer la taille des fichiers à l'intérieur des entêtes local et global afin de contourner la protection antivirale apportée par l'antivirus.

Contournement provisoire

Filtrer les messages contenant une pièce jointe au format zip.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Pour l'antivirus NOD32 la vulnérabilité a été corrigée dans la version 1.020 du module archive-support disponible lors de la mise à jour des signatures de virus.

Documentation