Les antivirus Kaspersky digèrent mal les fichiers ‘.cab’

Les solutions antivirus de l’éditeur spécialisé Kaspersky présenteraient une vulnérabilité critique

Alex Wheeler remet ca ! Non content d’avoir mis en avant les défauts de sécurité des antivirus McAfee, Symantec, Trend Micro ou encore F-Secure, le chercheur de la X-Force (ISS) annonce avoir découvert une vulnérabilité critique affectant l’antivirus Kaspersky, éditeur d’origine russe.

Plusieurs produits Kaspersky seraient affectés par la faille mise en exergue par Alex Wheeler. De type «heap overflow», la vulnérabilité serait localisée dans la librairie « cab.ppl » qui éprouve des difficultés à interpréter certaines entêtes de fichiers « .cab » malformées. D’après le chercheur, qui appartient à la cellule X-Force d’ISS, l’exécution de code arbitraire à distance serait possible dès lors que l’antivirus Kaspersky parcourt un tel fichier piégé. La faille est donc sérieuse. Mais sa correction ne devrait pas poser de problème majeur à l’éditeur russe. Les versions vulnérables sont Kaspersky Anti-Virus 4.x, 5.x et Kaspersky SMTP-Gateway 5.x. À cette heure, aucun correctif n¹est disponible, cependant la mise à jour de Kaspersky ne devrait logiquement pas tarder (voir encadré). Alex Wheeler et la X-Force d’ISS traquent depuis plusieurs mois les failles nichées au coeur des antivirus. Il est vrai que de plus en plus d’entreprises et de particuliers en sont désormais équipés. L’antivirus devient donc naturellement une cible de choix pour les pirates. Comme tout logiciel, son statut d’équipement de sécurité ne le dispense pas de mises à jour réparatrices ! (*)

Vulnerabilite.com

La réaction de Kaspersky

Par voie de communiqué, l’éditeur a voulu rassurer ses utilisateurs et promet un patch pour le 5 octobre prochain.

« La société confirme bien l’existence d’une vulnérabilité dans un des modules de Kaspersky Anti-Virus. Les spécialistes de Kaspersky Lab ont pris une série de mesures destinées à supprimer la menace liée à cette vulnérabilité du module CAB. L’équipe d’analystes antiviraux a très rapidement mis en place un ensemble de signatures, détectant les exploits (utilisation des vulnérabilités pour s’infiltrer sur un ordinateur) possibles pour la vulnérabilité en question. Ce lot de signatures a été rajouté aux bases antivirus de Kaspersky Lab le 29 septembre, ce qui diminue fortement la possibilité d’une quelconque exploitation de la vulnérabilité CAB. Qui plus est, à l’heure actuelle, aucune tentative de création et de diffusion de tels exploits n’a été enregistrée » « La mise à jour enrayant la vulnérabilité CAB pour tous les programmes cités sera édité le 05 octobre 2005 en deuxième partie de journée, et disponible au téléchargement ».