Angreifer können an mehreren Sicherheitslücken in Avira Antivirus ansetzen und im schlimmsten Fall Schadcode ausführen, um das System vollständig zu kompromittieren. Überdies ist Avira Password Manager unter bestimmen Bedingungen verwundbar.
Mehrere Softwareschwachstellen
In der US-amerikanischen National Vulnerability Database vom National Institute of Standards and Technology (NIST) sind vier Sicherheitslücken in Antivirus ( CVE-2026-6676 „ hoch “, CVE-2025-9033 „ hoch “, CVE-2025-9032 „ hoch “, CVE-2025-14098 „ hoch “) und eine in Password Manager ( CVE-2026-12068 „ hoch “) aufgelistet. Im Sicherheitsbereich der Website von Gen Digital , zu der Avira gehört, tauchen die Sicherheitslücken bislang nicht auf. Von den Lücken sind die Linux-, macOS- und Windows-Version betroffen.
Bei Antivirus können Angreifer in allen vier Fällen mit präparierten Dateien an den Lücken ansetzen. Werden manipulierte OSIX-Tar-Archive, PDF-, Windows-PE- oder ausführbare MS-DOS-Dateien verarbeitet, kommt es zu Speicherfehlern (out-of-bounds). So etwas sorgt in der Regel für Abstürze. Oft gelangt in so einem Kontext aber auch Schadcode auf Systeme.
Lücken geschlossen
Aus den CVE-Beiträgen geht hervor, dass die Schwachstellen offensichtlich die Scan-Engine betreffen und nicht den Client. Als früheste vollständig gepatchte Scan-Engine- Version nennen die CVE-Einträge 8.3.70.104. Wer Antivirus nutzt, sollte sicherstellen, dass mindestens diese Ausgabe installiert ist.
Es ist derzeit unklar, wann die reparierte Ausgabe erschienen ist. In der Regel genehmigen sich jedoch die AV-Hersteller unter der Gen-Digital-Führung um die drei Monate Zeit, bis sie geschlossene Sicherheitslücken benennen.
Password Manager ist nur in Kombination mit Firefox angreifbar. Ist das gegeben, können Angreifer auf einem nicht näher ausgeführten Weg im Kontext von Autofill-Feldern Zugangsdaten abgreifen. An dieser Stelle nennt der CVE-Eintrag keine dagegen gerüstete Versionsnummer.
( des )
Read the full article at heise online →
Germany