IT-Forscher haben in Aviras Antimalware-Software Sicherheitsl\u00fccken entdeckt, durch die Angreifer verwundbare Systeme kompromittieren k\u00f6nnen. Dazu m\u00fcssen sie teils lediglich Dateien an bestimmte, von Nutzern und Nutzerinnen zugreifbare Orte im Dateisystem ablegen, was zur Ausf\u00fchrung von beliebigem Code mit Systemrechten f\u00fchrt.<\/p>\n
Weiterlesen nach der Anzeige<\/p>\n
Konkret f\u00fchren die Quarkslab-Analysten die Schwachstellen<\/a> anhand der kostenlosen \u201eAvira Free Security\u201c-Software vor, allerdings ist auch Avira Internet Security und weitere Software mit den genutzten Komponenten anf\u00e4llig. Bei allen setzen die Angreifer auf eine Technik, die durch L\u00f6schen bestimmter Dateien durch die attackierte Software das Ausf\u00fchren von Code erm\u00f6glicht. Trend Micros Zero-Day-Initiative (ZDI) liefert eine umfassende Erl\u00e4uterung der Missbrauchsm\u00f6glichkeiten<\/a>.<\/p>\n Avira: Drei hochriskante Sicherheitsl\u00fccken<\/p>\n In der Updater-Komponente der Software fehlt eine Pr\u00fcfung, ob eine Datei unter \u201eC:\\ProgramData\u201c ein symbolischer Link ist. Angreifer k\u00f6nnen einen b\u00f6sartigen Link erstellen, um dadurch beliebige Dateien im System zu l\u00f6schen \u2013 aufgrund der L\u00f6schung durch den Dienst mit \u201eSYSTEM\u201c-Rechten. Das erlaubt die Ausweitung der Rechte und vollst\u00e4ndige Kompromittierung des Systems (CVE-2026-27748<\/a>, CVSS4 8.5<\/strong>, Risiko \u201ehoch<\/strong>\u201c). Die System-Speedup-Komponente hingegen deserialisiert Daten aus einer Datei in dem vorgenannten Ordner, ohne etwaige Pr\u00fcfung oder Sicherheitsma\u00dfnahmen. Standardm\u00e4\u00dfig k\u00f6nnen lokale User diese Datei anlegen oder ver\u00e4ndern. Angreifer k\u00f6nnen das direkt lokal oder etwa mittels Social Engineering aus dem Netz gegen arglose Opfer missbrauchen, um beliebigen Code mit \u201eSYSTEM\u201c-Rechten auszuf\u00fchren (CVE-2026-27749<\/a>, CVSS4 8.5<\/strong>, Risiko \u201ehoch<\/strong>\u201c).<\/p>\n Die dritte Sicherheitsl\u00fccke betrifft die Optimizer-Komponente und ist zeitbasiert: Eine Datei wird dabei zwar \u00fcberpr\u00fcft, kann vor der Nutzung noch einmal ver\u00e4ndert werden (time-of-check time-of-use, TOCTOU). Zun\u00e4chst scannt der privilegierte Dienst, welche Ordner sich zur Systembereinigung l\u00f6schen lassen, und l\u00f6scht die dann sp\u00e4ter in einem zweiten Durchgang. Angreifer k\u00f6nnen ein bereits gescanntes Verzeichnis durch eine Junction oder einen sogenannten Reparse Point (auf Deutsch \u201eAnalysepunkt<\/a>\u201c) ersetzen und den Dienst so dazu bringen, beliebige Dateien oder Ordner mit den h\u00f6chsten Rechten zu l\u00f6schen, mit den bekannten Folgen (CVE-2026-27750<\/a>, CVSS4 8.5<\/strong>, Risiko \u201ehoch<\/strong>\u201c).<\/p>\n Die Schwachstellen betreffen Avira-Versionen bis einschlie\u00dflich 1.1.109.1990. Die Fassung 1.1.114.3113, die offenbar Anfang Februar 2026 verf\u00fcgbar wurde, soll die Sicherheitslecks stopfen. Wer Avira<\/a> einsetzt, sollte daher z\u00fcgig sicherstellen, dass die Software tats\u00e4chlich auf aktuellem Stand ist. Bereits im Mai vergangenen Jahres haben TuneUp und weitere Dienste in Avira<\/a>, aber auch in AVG- und Norton-Produkten Sicherheitsl\u00fccken in Windows-Systemen aufgerissen.<\/p>\n