Sophos Anti-Virus für Mac barg und birgt Sicherheitsrisiken

Alexander Trust, den 6. November 2012
Mac OS X 10.8 Mountain Lion
Mac OS X 10.8 Mountain Lion

Sophos 8.0.6 ist aktuellen Berichten zufolge ein Herd der Unsicherheit (gewesen). In einem Paper wurden mehrere Sicherheitslecks der App bloßgestellt, die mit ein wenig Arbeit nicht nur unter Mac OS X, sondern auch unter Windows und Linux ausgenutzt werden können. Der Hersteller gibt an, bis auf ein, bereits alle angemerkten Lücken geschlossen zu haben.

Nutzer von Antiviren-Software fühlen sich sicher. Was aber, wenn gerade diese Software nicht sicher ist, sondern als Einfallstor für Schädlinge dienen könnte. Laut einem Eintrag des IT-Sicherheitsdienstleisters Neohapsis gibt es einen funktionierenden „Exploit“ für Sophos 8.0.6 für Mac OS X.

Paper und Exploit von Ormandy

Tavis Ormandy hat eine Analyse der Software durchgeführt, dazu ein Paper angefertigt. Den funktionsfähigen Exploit kann man nun im Netz herunterladen. In dem Dokument schreibt Ormandy allerdings noch von weiteren Problemen mit der Antiviren-Software. Funktionsfähige Beweise für die übrigen Sicherheitslücken könne er bei Bedarf erstellen. In dem Paper schlägt Ormandy Lösungen vor, wie vor allem Administratoren von Netzwerken, in denen Sophos zum Einsatz kommt, die Möglichkeit des feindlichen Eindringens auf ein Minimum reduzieren können. Dazu sollten sie den Anweisungen in seinem Paper folgen.

„The paper includes a working pre-authentication remote root exploit that requires zero-interation, and could be wormed within the next few days. I would suggest administrators deploying Sophos products study my results urgently, and implement the recommendations.“
Tavis Ormandy

Sophos weiß seit 2 Monaten Bescheid

Bei Sophos selbst hat man im hauseigenen „nakedsecurity“-Blog auf die „Vorwürfe“ von Ormandy reagiert und die im Paper angeführten Sicherheitslecks einzeln aufgeführt. Und zwar hat Sophos den Zeitpunkt der Bekanntgabe der Sicherheitslücke notiert und das Datum, an dem man Kunden ein Update zur Verfügung gestellt hat.
Von den angesprochenen Lücken seien die meisten mit einem Update am 22. Oktober geschlossen worden, ein weiteres Update am 5. November habe eine weitere Lücke geschlossen. Lediglich eine weitere Lücke wird notiert, die noch nicht behoben zu sein scheint. Von dieser hat Sophos am 4. Oktober gewusst und plant am 28. November ein Update herauszubringen, also 55 Tage nach Bekanntwerden der Lücke. Bei allen von Ormandy erwähnten Lücken hat Sophos sich für die Behebung zwischen 31 und 56 Tagen Zeit gelassen.

Via 9to5Mac, engl.


Ähnliche Nachrichten