A semana não está sendo boa para fabricantes de softwares antivírus. Somente nesta terça-feira (11/10), empresas de segurança alertaram para falhas consideradas críticas nos antivírus das empresas Kaspersky, Computer Associates e F-Secure. Para a russa Kaspersky, porém, essa é a segunda falha apresentada em menos de uma semana.

Kaspersky

A falha no antivírus da Kaspersky está na análise de arquivos CHM, afetando versões do software para Windows e Linux.

Segundo empresas de segurança como a Secunia e a FrSIRT (French Security Incident Response Team), a brecha permite a execução remota de códigos maliciosos logo após um ataque de negação de serviço no máquina da vítima.

O mecanismo de varredura de arquivos CHM está presente nas versões 5.0.227 e anteriores do Kaspersky Personal para Windows e nas versões 5.0.5 e anteriores do Kaspersky Anti-Virus On-Demand Scanner para Linux. A fabricante, entretanto, afirma que a correção já está disponível desde julho nas atualizações automáticas.

F-Secure

Apesar de crítica, a falha no software antivírus da F-Secure é considerada menos séria. A versão afetada do software se aplica apenas a sistemas operacionais Linux, que apresentam uma incidência de vírus muito menor do que os aplicativos desenvolvidos para plataforma Windows.

A brecha também está no método como o antivírus da F-Secure faz varredura em arquivos de formato CHM, permitindo que um hacker utilize um arquivo malicioso para organizar ataques de negação de serviço na máquina da vítima e, por fim, rodar códigos nocivos no sistema.

As versões atingidas são a 4.50 e anteriores do F-Secure Anti-Virus para Linux, mas a vulnerabilidade já foi corrigida em uma atualização automática disponível desde julho deste ano.

Computer Associates

O caso da Computer Associates é um pouco diferente. A falha reside no componente iGateway, que equipa pelo menos sete produtos da CA e apresenta erros ao receber requisições HTTP GET maliciosas pela porta 5250.

A companhia afirma que a brecha não é séria, já que só pode ser explorada com sucesso se o componente estiver em modo "debug". Acontece que na instalação padrão do produto esse modo está desativado automaticamente, diminuindo bastante o número de máquinas potencialmente vulneráveis.

Mesmo assim, a FrSIRT classifica a vulnerabilidade como crítica, pois um ataque de sucesso permite que um hacker execute comandos nocivos no servidor atacado.

Os produtos afetados são o iGateway versões 3.0 e 4.0, BrightStor ARCserve 2000, 9.x e 11.x, além das versões BrightStor Enterprise Backup 10.x e BrightStor Portal 11.x. A Computer Associates ainda não divulgou correções, mas oferece soluções e informações mais detalhadas aqui (em inglês).