Vigil@nce - eTrust Antivirus : contournement via CAB, ELF
avril 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer une archive ou un programme, contenant un
virus qui n’est pas détecté par eTrust Antivirus.
Gravité : 2/4
Date création : 21/03/2012
PRODUITS CONCERNÉS
– eTrust Antivirus
DESCRIPTION DE LA VULNÉRABILITÉ
Les outils d’extraction d’archives (CAB) acceptent d’extraire des
archives légèrement malformées. Les systèmes acceptent aussi
d’exécuter des programmes (ELF) légèrement malformés. Cependant,
eTrust Antivirus ne détecte pas les virus contenus dans ces
archives/programmes.
Un programme ELF contenant un champ "identsize" trop grand
contourne la détection. [grav:2/4 ; BID-52595, CVE-2012-1440]
Un programme ELF contenant un champ "encoding" trop grand
contourne la détection. [grav:2/4 ; BID-52600, CVE-2012-1446]
Une archive CAB contenant un champ "coffFiles" trop grand
contourne la détection. [grav:1/4 ; BID-52621, CVE-2012-1453]
Un attaquant peut donc créer une archive contenant un virus qui
n’est pas détecté par l’antivirus, mais qui est extrait par les
outils d’extraction. Le virus est ensuite détecté une fois qu’il a
été extrait sur le poste de la victime. Un attaquant peut aussi
créer un programme, contenant un virus qui n’est pas détecté par
l’antivirus, mais qui est exécuté par le système.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/eTrust-Antivirus-contournement-via-CAB-ELF-11478