L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Panda Software Platinium

bulletin de vulnérabilité CVE-2007-3026

Panda AV : corruption de mémoire de AdminSecure

Synthèse de la vulnérabilité

Un attaquant peut se connecter sur le port de AdminSecure afin de provoquer un débordement conduisant à l'exécution de code.
Produits concernés : Panda AV, Panda Internet Security, Panda Software Platinium.
Gravité : 2/4.
Conséquences : accès/droits privilégié.
Provenance : client intranet.
Date création : 25/07/2007.
Références : BID-25046, CVE-2007-3026, VIGILANCE-VUL-7033, ZDI-07-041.

Description de la vulnérabilité

Le service AdminSecure est installé par l'antivirus Panda. Il écoute sur les ports 19226/tcp ou 19227/tcp.

Un attaquant peut se connecter sur ce port et y envoyer des données incorrectes afin de provoquer un débordement d'entier provoquant une corruption de mémoire.

Un attaquant du réseau peut ainsi mener un déni de service ou faire exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2007-1669 CVE-2007-1670 CVE-2007-1671

AMaViS, Avast, Panda : déni de service via une archive ZOO

Synthèse de la vulnérabilité

Un attaquant peut créer une archive ZOO illicite provoquant une boucle infinie dans plusieurs logiciels.
Produits concernés : Avast AV, Panda AV, Panda Internet Security, Panda Software Platinium, Unix (plateforme) ~ non exhaustif.
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 09/05/2007.
Références : ASA-2007-2, CERTA-2007-AVI-212, CVE-2007-1669, CVE-2007-1670, CVE-2007-1671, CVE-2007-1672, CVE-2007-1673, VIGILANCE-VUL-6802.

Description de la vulnérabilité

Le format ZOO, basé sur Lempel-Ziv, est rarement utilisé, mais il est supporté par plusieurs anti-virus.

Une archive ZOO contient des structures "direntry" indiquant la structure suivante.

Un attaquant peut créer une archive ZOO dont une structure direntry pointe vers la structure précédente. L'analyse de ce fichier provoque donc une boucle infinie.

Cette vulnérabilité permet ainsi à un attaquant de mener un déni de service en transmettant à la victime une archive illicite.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2005-3922

Panda : buffer overflow à l'aide de fichier ZOO

Synthèse de la vulnérabilité

Un attaquant peut créer un fichier ZOO illicite provoquant l'exécution de code sur l'antivirus.
Produits concernés : Panda Software Platinium.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : document.
Date création : 30/11/2005.
Références : BID-15616, CVE-2005-3922, VIGILANCE-VUL-5381.

Description de la vulnérabilité

L'antivirus Panda peut rechercher les virus présents dans les fichiers compressés ZOO (format créé pour MS-DOS, mais peu utilisé depuis). Le support de ce format de fichier est implémenté dans la bibliothèque Panda Antivirus Library.

Lors de l'analyse d'un fichier ZOO, certaines données du fichiers sont copiées dans une zone mémoire trop courte.

Un attaquant peut ainsi créer un fichier ZOO illicite conduisant à une corruption de la mémoire de l'antivirus pour y faire exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2005-3370 CVE-2005-3371 CVE-2005-3372

Antivirus : contournement en utilisant des "magic bytes"

Synthèse de la vulnérabilité

Un attaquant peut construire un fichier commençant par des magic bytes spéciaux afin de contourner l'antivirus.
Produits concernés : CA Antivirus, e-Trust Antivirus, F-PROT AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norman Virus Control, Panda Software Platinium, Sophos AV, TrendMicro Internet Security.
Gravité : 1/4.
Conséquences : transit de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 13.
Date création : 25/10/2005.
Dates révisions : 27/10/2005, 02/11/2005.
Références : BID-15189, CVE-2005-3370, CVE-2005-3371, CVE-2005-3372, CVE-2005-3373, CVE-2005-3374, CVE-2005-3375, CVE-2005-3376, CVE-2005-3377, CVE-2005-3378, CVE-2005-3379, CVE-2005-3380, CVE-2005-3381, CVE-2005-3382, VIGILANCE-VUL-5305.

Description de la vulnérabilité

Certains formats de fichier peuvent commencer par des données aléatoires sans que cela ne perturbe leur ouverture ou leur exécution. Par exemple, les données invalides sont ignorées en haut d'une page HTML, d'un script BAT ou d'un email EML.

Un attaquant peut donc prendre le début d'un fichier exécutable et l'insérer devant un contenu HTML, BAT ou EML. Certains antivirus reconnaissent correctement le format, mais d'autres reconnaissent uniquement un programme exécutable.

Un attaquant peut ainsi créer un contenu HTML, BAT ou EML illicite sans que l'antivirus ne le détecte.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2005-3210 CVE-2005-3211 CVE-2005-3212

Antivirus : absence de détection de virus dans RAR, CAB ou ARJ

Synthèse de la vulnérabilité

Un attaquant peut créer des archives RAR, CAB ou ARJ contenant des virus, qui ne sont pas détectés par certains antivirus.
Produits concernés : Avast AV, ClamAV, F-PROT AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norman Virus Control, Norton Antivirus, Panda Software Platinium, Sophos AV.
Gravité : 2/4.
Conséquences : camouflage.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 26.
Date création : 10/10/2005.
Références : BID-15046, CVE-2005-3210, CVE-2005-3211, CVE-2005-3212, CVE-2005-3213, CVE-2005-3214, CVE-2005-3215, CVE-2005-3216, CVE-2005-3217, CVE-2005-3218, CVE-2005-3219, CVE-2005-3220, CVE-2005-3221, CVE-2005-3222, CVE-2005-3223, CVE-2005-3224, CVE-2005-3225, CVE-2005-3226, CVE-2005-3227, CVE-2005-3228, CVE-2005-3229, CVE-2005-3230, CVE-2005-3231, CVE-2005-3232, CVE-2005-3233, CVE-2005-3234, CVE-2005-3235, VIGILANCE-VUL-5244.

Description de la vulnérabilité

Les fichiers portant l'extension RAR, CAB ou ARJ sont des archives contenant un ou plusieurs fichiers compressés.

Un attaquant peut créer des archives légèrement malformées. Les outils d'extractions comme UnRAR ou PowerZip reconnaissent tout de même les archives et extraient les fichiers.

Cependant, ces archives malformées ne sont pas reconnues par certains antivirus. Ainsi les virus sont uniquement détectés par l'antivirus résidant sur le poste de l'utilisateur, lorsque l'utilisateur accède au fichier contenant le virus.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité 3971

Analyse incorrecte des fichiers UPX

Synthèse de la vulnérabilité

Un attaquant distant peut créer un fichier UPX illicite, qui ne sera pas analysé par la majorité des anti-virus.
Produits concernés : MAILsweeper, F-PROT AV, F-Secure AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norton Antivirus, Panda Software Platinium, Sophos AV, InterScan VirusWall, ScanMail.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : serveur internet.
Date création : 23/01/2004.
Références : V6-AVMULUPX, VIGILANCE-VUL-3971.

Description de la vulnérabilité

Le format UPX (Ultimate Packer for eXecutables) permet de compresser un programme et de le décompresser avant son exécution.

Il a été annoncé que la majorité des anti-virus ne savait pas reconnaître un fichier UPX spécialement construit. Un attaquant distant peut donc créer un virus et le compresser en UPX, afin qu'il ne soit pas détecté par les anti-virus. L'utilisateur, alors en confiance, peut décider de l'exécuter.

La liste exacte des anti-virus concernés n'est pas connue.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.