Eine Schwachstelle in den Routinen zum Entpacken von Dateien im Microsoft Cabinet Format (CAB) der Antivirenprodukte von Sophos kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des entsprechenden Sophos-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Neben den diversen Desktop-Produkten sind von dieser Schwachstelle auch die Gateway-Produkte zur Malwarefilterung auf Mailservern betroffen.

Betroffene Systeme

• Sophos Anti-Virus:
  • Sophos Anti-Virus für Windows 2000/XP/2003 v5.2.0 und frühere Versionen
  • Sophos Anti-Virus für Windows 95/98/Me v4.5 4.5.11 und frühere Versionen
  • Sophos Anti-Virus für Windows NT v4.5.11 und frühere Versionen
  • Sophos Anti-Virus für Windows NT/2000/XP/2003 v4.04 und frühere Versionen
  • Sophos Anti-Virus für Windows 95/98/Me v4.04 und frühere Versionen
  • Sophos Anti-Virus für Mac OS X v4.7.1 und frühere Versionen
  • Sophos Anti-Virus für Mac OS 8/9 v4.04 und frühere Versionen
  • Sophos Anti-Virus für UNIX/Linux v4.04 und frühere Versionen
  • Sophos Anti-Virus für NetWare v4.04 und frühere Versionen
  • Sophos Anti-Virus für OS/2 v4.04 und frühere Versionen
  • Sophos Anti-Virus für OpenVMS v4.04 und frühere Versionen
  • Sophos Anti-Virus für DOS/Windows 3.1x v4.04 und frühere Versionen
• Sophos Small Business Solutions:
  • Sophos Anti-Virus Small Business Edition (Windows) v4.04 und frühere Versionen
  • Sophos Anti-Virus Small Business Edition (Mac) v4.04 und frühere Versionen
  • PureMessage Small Business Edition v4.04 und frühere Versionen
• Sophos Gateway-Produkte:
  • PureMessage für Windows/Exchange SAV Version 5.2.0 und frühere Versionen
  • PureMessage für UNIX SAV Version 4.04 und frühere Versionen
  • MailMonitor für SMTP - Windows SAV Version 4.04 und frühere Versionen
  • MailMonitor für SMTP - Windows SAV Version 4.04 und frühere Versionen
  • MailMonitor für Notes/Domino SAV Version 4.04 und frühere Versionen
  • MailMonitor für Exchange SAV Version 4.04 und frühere Versionen

Nicht betroffene Systeme

• Sophos Anti-Virus:
  • Sophos Anti-Virus für Windows 2000/XP/2003 v5.2.1 und spätere Versionen
  • Sophos Anti-Virus für Windows 95/98/Me v4.5.12 und spätere Versionen
  • Sophos Anti-Virus für Windows NT v4.5.12 und spätere Versionen
  • Sophos Anti-Virus für Windows NT/2000/XP/2003 v4.05 und spätere Versionen
  • Sophos Anti-Virus für Windows 95/98/Me v4.05 und spätere Versionen
  • Sophos Anti-Virus für Mac OS X v4.7.2 und spätere Versionen
  • Sophos Anti-Virus für Mac OS 8/9 v4.05 und spätere Versionen
  • Sophos Anti-Virus für UNIX/Linux v4.05 und spätere Versionen
  • Sophos Anti-Virus für NetWare v4.05 und spätere Versionen
  • Sophos Anti-Virus für OS/2 v4.05 und spätere Versionen
  • Sophos Anti-Virus für OpenVMS v4.05 und spätere Versionen
  • Sophos Anti-Virus für DOS/Windows 3.1x v4.05 und spätere Versionen
• Sophos Small Business Solutions:
  • Sophos Anti-Virus Small Business Edition (Windows) v4.05 und spätere Versionen
  • Sophos Anti-Virus Small Business Edition (Mac) v4.05 und spätere Versionen
  • PureMessage Small Business Edition v4.05 und spätere Versionen
• Sophos Gateway-Produkte:
  • PureMessage für Windows/Exchange SAV Version 5.2.1 und spätere Versionen
  • PureMessage für UNIX SAV Version 4.05 und spätere Versionen
  • MailMonitor für SMTP - Windows SAV Version 4.05 und spätere Versionen
  • MailMonitor für SMTP - Windows SAV Version 4.05 und spätere Versionen
  • MailMonitor für Notes/Domino SAV Version 4.05 und spätere Versionen
  • MailMonitor für Exchange SAV Version 4.05 und spätere Versionen

Einfallstor
Speziell präpariertes CAB-Archiv z.B. als Anhang einer E-Mail

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des Sophos-Prozesses auf dem beherbergenden Rechnersystem
(remote user compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Das Microsoft Cabinet Format (CAB) ist ein spezielles Archiv-Format, das neben den einzelnen Dateien auch Pfadinformation speichert, um so auch einzelne Dateien aus dem Archiv entpacken zu können. Die Dateien werden meist mit dem Suffix .cab versehen und E-Mail-Nachrichten unter dem MIME-Type application/x-cab-compressed angehängt.

Beschreibung
Eine Schwachstelle in den Routinen zum Entpacken von CAB-Archiven der Antivirenprodukte von Sophos kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des entsprechenden Sophos-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Neben den Desktop-Produkten sind von dieser Schwachstelle auch die diversen Gateway-Produkte zur Malwarefilterung auf Mailservern betroffen. Zur Ausnutzung der Schwachstelle ist es ausreichend eine entsprechend präparierte CAB-Datei mit ungültigen "folder count values", z.B. als Anhang an einer E-Mail-Nachricht an ein System zu schicken, das diese mittels einer der verwundbaren Sophos-Versionen auf Malware untersucht.

Gegenmaßnahmen
Es wird dringend empfohlen, die von Sophos bereitgestellten aktualisierten Softwareversionen zu installieren.

Vulnerability ID

• CVE-2006-0994

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/