De fout is gebaseerd op een universele bug die onderzoekers uit Finland en Groot Brittanië het afgelopen half jaar hebben gevonden in de afhandeling van gearchiveerde bestanden, zoals .zip, .rar en .ace. De software van F-Secure reageert slecht op de testbestanden die deze onderzoekers hebben vrijgegeven.

Daarmee komt F-Secure op een lijstje van uitgevers van kwetsbaren voor besmette archiefbestanden. De onderzoekers die het lek melden zijn verbonden aan het Finse CERT-FI en het Britse CPNI, allebei nationale ict-beveiligingsagentschappen. CERT-FI heeft gisteren een algemene advisory uitgebracht.

Met de universiteit in het Finse Oulu (de Oulu Security Programming Group, OUSPG) hebben ze sinds drie jaar een testprogramma waarmee willekeurige protocollen worden getest met een methode genaamd 'fuzzing', het invoegen van code in de executiestroom. De applicatie is mogelijk kwetsbaar wanneer deze crasht bij het lezen van het 'gefuzzde' bestand. De afgelopen tijd waren de archiveringsbestanden aan de beurt.

Applicaties, van antivirussoftware tot besturingsystemenm zijn volgens de organisaties potentieel kwetsbaar voor DoS-aanvallen en buffer overflow-omstandigheden, maar de mate van kwetsbaarheid verschilt enorm. "OUSPG heeft nam tijdens de eerste onderzoeksronde waar dat de meeste geteste applicaties niet op een robuuste manier reageerden op de testbestanden", zo staat in de advisory.

"We zijn sinds een jaar bezig met de archivebestanden", zegt Sauli Pahlmen, information specialist bij CERT-FI, tegenover Techworld. "Het is een type bestand dat al decennia breed gebruik wordt, en daarom is het goed om in potentiële fouten te duiken." Maar, zo stelt hij, een exploit maken voor archivebestanden is niet gemakkelijk, en de meeste gewaarschuwde bedrijven zijn zich bewust van de kwetsbaarheden. "Ze zijn potentieel interessant, maar echt gevaar is er nu nog niet", stelt Pahlmen.

Hoe en wat het lek precies in elkaar zit willen de onderzoekers niet kwijt. "Het project is primair gericht op onderzoek van de bestanden zelf, en niet per definitie om lekken in software aan het licht te brengen", zegt Pahlmen. Onder meer FreeBSD en Novell (SUSE) hebben eerder aangeven een kwetsbaarheid te hebben gevonden. Citrix, Microsoft, Apple en Symantec behoren tot het groepje 'niet kwetsbaren'. Bron: Techworld