ClamAV łata krytyczną podatność

Antywirusy to bardzo wdzięczne do badań oprogramowanie – ze względu na swoją specyfikę, muszą implementować parsery wielu formatów plików. A co za tym idzie jest wiele miejsc, w których można popełnić błąd. 

Zgodnie z notką na blogu ClamAV, najnowsze patche 1.4.3 oraz 1.0.9 łatają podatność oznaczoną jako CVE-2025-20260, która została wyceniona na 9.8 w skali CVSS. W kodzie odpowiedzialnym za obsługę formatu PDF (który swoją drogą jest dość specyficzny), znajdowała się luka, która prowadziła do błędnego zarządzania pamięcią i w efekcie błędu typu przepełnienie bufora. Biuletyn bezpieczeństwa mówi o pamięci dynamicznie zarządzanej w czasie wykonania programu, a dodatkowo wspomina o dużych alokacjach pamięci (luka wymaga, aby konfiguracja antywirusa pozwalała na skanowanie plików większych niż 1024 MB oraz rozmiar samego skanu (scan-size scan limit) przekracza 1025 MB – pierwsze ustawienie mówi o całkowitym rozmiarze pojedynczego pliku, drugie o maksymalnym sumarycznym rozmiarze plików w kontenerze np. archiwum – limity wymagane do zaistnienia podatności nie są domyślne, więc bez manualnej zmiany ustawień nie ma możliwości wykorzystania tej podatności). Na bazie tych przesłanek można stwierdzić, że błędu nie powinno się klasyfikować jako standardowego przepełnienia bufora na stosie (stack-based buffer overflow) tylko na stercie (heap-based buffer overflow), co wymusza inną technikę wykorzystania tej podatności. 

W wyniku wykorzystania tej podatności atakujący może doprowadzić do odmowy dostępu (logiczny DoS), a w skrajnym przypadku wykonania kodu. 

Oprócz tego, najnowsze wydania łatają podatności CVE-2025-20234 – przepełnienie bufora w parserze plików UDF. Skutkiem podesłania przez atakującego spreparowanego pliku w formacie UDF będzie zakończenie procesu ClamAV – czyli jest to typowy DoS – stąd też niższa, niż dla poprzedniej podatności, wycena CVSS, bo tylko 5.3

Na koniec załatano jeszcze potencjalną podatność klasy use-after-free w kodzie odpowiadającym za obsługę xz. Błąd został zgłoszony przez projekt OSS Fuzz, inicjatywę Google, która umożliwia ciągłe testowanie wolnego oprogramowania metodą fuzzingu. 

Jeśli wasze rozwiązania korzystają z ClamAV – zalecamy szybką aktualizację. Jak na razie nie zarejestrowano publicznego PoCa, ale na bazie analizy różnic w oprogramowaniu, odpowiednio umotywowany atakujący, będzie w stanie odtworzyć ścieżkę ataku.

~Black Hat Logan