Accès Premium
GNT sans publicité, site mobile, fonctionnalitées exclusives...
Rejoignez-nous !
Forums Sécurité Virus

Faille sur AV ??

Le
Mathieu
Bonjour

Je viens de voir ça http://www.futura-sciences.com/sinf...ws4638.php
sur un problème des AV scannant les Zip, car "Il est possible de modifier la
taille non-compressée des fichiers archivés dans l'en-tête local sans
affecter le fonctionnement. Un attaquant peut exploiter ce problème, en
modifiant les en-têtes, afin d'inclure une charge malveillante cachée qui ne
sera pas détectée par les logiciels antivirus.".

les produits vulnérables seraient :
Produits antivirus McAfee, Computer Associates, Kaspersky, Sophos, Eset, RAV

Cela vous semble crédible ?? une mise à jour est prévue, ou c'est au format
Zip de se corriger ?

Merci d'avance

Mathieu

--
Bonjour ma colère, salut ma hargne ,et mon courroux coucou
P.DESPROGES
http://visite.etna.free.fr/ tout est dans le titre :-)
Adresse anti spam et swen, enlever le faux pour avoir le vrai :-)
Lire les 5 réponses

Questions / Réponses high-tech
Poser une question
Vidéos High-Tech et Jeu Vidéo
Plus de vidéos
Téléchargements
Plus de téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
J-P Louvet
Le #1304853
"Mathieu" 417b7f0b$0$1127$
Bonjour

Je viens de voir ça
http://www.futura-sciences.com/sinf...ws4638.php sur un
problème des AV scannant les Zip, car "Il est possible de modifier la
taille non-compressée des fichiers archivés dans l'en-tête local sans
affecter le fonctionnement. Un attaquant peut exploiter ce problème,
en modifiant les en-têtes, afin d'inclure une charge malveillante
cachée qui ne sera pas détectée par les logiciels antivirus.".
les produits vulnérables seraient :
Produits antivirus McAfee, Computer Associates, Kaspersky, Sophos,
Eset, RAV
Cela vous semble crédible ?? une mise à jour est prévue, ou c'est au
format Zip de se corriger ?

Merci d'avance

Mathieu


D'autant plus crédible que Computer Associates a fait une mise à jour, et je
suppose qu'il en est de même pour les autes AV (se renseigner parce que ce
n'est pas une mise à jour de la base de signature, mais une mise à jour du
moteur (au moins une dll).
Quant au format zip, il est ce qu'il est et je ne pense pas qu'on puisse y
toucher sous peine d'incompatibilité entre une nouvelle version et des
millions de fichiers compressés existant. C'est au programme de
décompression de prendre ses précautions.

--

J.P. Louvet
--------------------
Fractales :
http://fractals.iut.u-bordeaux1.fr

Répondre en citant
Roland Garcia
Le #1304852

Je viens de voir ça http://www.futura-sciences.com/sinf...ws4638.php
sur un problème des AV scannant les Zip, car "Il est possible de modifier la
taille non-compressée des fichiers archivés dans l'en-tête local sans
affecter le fonctionnement. Un attaquant peut exploiter ce problème, en
modifiant les en-têtes, afin d'inclure une charge malveillante cachée qui ne
sera pas détectée par les logiciels antivirus.".

les produits vulnérables seraient :
Produits antivirus McAfee, Computer Associates, Kaspersky, Sophos, Eset, RAV

Cela vous semble crédible ??


Oui.

une mise à jour est prévue, ou c'est au format
Zip de se corriger ?


Le calendrier des correctifs AV:
http://www.idefense.com/application/poi/display?id3&type=vulnerabilities&flashstatus=true

--
Roland Garcia

Répondre en citant
david.touzeau
Le #1304843
C'est aux deux

Car l'antivirus doit ne pas faire confiance aux indications
"ergonomiques" des compresseurs
et les compresseurs doivent quand même consolider leur fonctionnalités

Bonjour

Je viens de voir ça http://www.futura-sciences.com/sinf...ws4638.php
sur un problème des AV scannant les Zip, car "Il est possible de modifier la
taille non-compressée des fichiers archivés dans l'en-tête local sans
affecter le fonctionnement. Un attaquant peut exploiter ce problème, en
modifiant les en-têtes, afin d'inclure une charge malveillante cachée qui ne
sera pas détectée par les logiciels antivirus.".

les produits vulnérables seraient :
Produits antivirus McAfee, Computer Associates, Kaspersky, Sophos, Eset, RAV

Cela vous semble crédible ?? une mise à jour est prévue, ou c'est au format
Zip de se corriger ?

Merci d'avance

Mathieu



Répondre en citant
Roland Garcia
Le #1304840
"Mathieu" 417b7f0b$0$1127$

Bonjour

Je viens de voir ça
http://www.futura-sciences.com/sinf...ws4638.php sur un
problème des AV scannant les Zip, car "Il est possible de modifier la
taille non-compressée des fichiers archivés dans l'en-tête local sans
affecter le fonctionnement. Un attaquant peut exploiter ce problème,
en modifiant les en-têtes, afin d'inclure une charge malveillante
cachée qui ne sera pas détectée par les logiciels antivirus.".
les produits vulnérables seraient :
Produits antivirus McAfee, Computer Associates, Kaspersky, Sophos,
Eset, RAV
Cela vous semble crédible ?? une mise à jour est prévue, ou c'est au
format Zip de se corriger ?

Merci d'avance

Mathieu



D'autant plus crédible que Computer Associates a fait une mise à jour, et je
suppose qu'il en est de même pour les autes AV (se renseigner parce que ce
n'est pas une mise à jour de la base de signature, mais une mise à jour du
moteur (au moins une dll).


KAV a également corrigé:
http://www.kaspersky.com/fr/news?id3642915

--
Roland Garcia


Répondre en citant
J-P Louvet
Le #1304829
"david.touzeau" news: 417bad89$0$28600$
C'est aux deux

Car l'antivirus doit ne pas faire confiance aux indications
"ergonomiques" des compresseurs
et les compresseurs doivent quand même consolider leur fonctionnalités

Les antivirus possèdent leur propre module de décompression et c'est lui qui

a été modifié pour éviter le piège de ces zip truqués. On ne peut pas
empêcher qu'un auteur de virus modifie un fichier zip avec un éditeur
hexadécimal, ou autre outil, pour fabriquer un zip piégé. Donc le
"compresseur" n'est pas en cause.

--

J.P. Louvet
--------------------
Fractales :
http://fractals.iut.u-bordeaux1.fr

Répondre en citant
Publicité
Suivre les réponses
Poster une réponse
Anonyme