Antivirus and Security Software from Sophos

Support en ligne

Maintenance des produits

Contacter le support

Services du support

A savoir : faille concernant les fichiers archives CAB mal formés signalée dans les produits Sophos qui utilisent le moteur de détection Sophos

Cet article décrit une faille où les fichiers archives mal formés sont ignorés par les produits Sophos qui utilisent le moteur de détection Sophos Anti-Virus. A l'heure où nous publions, il n'y a pas d'exploitation connue de cette faille en liberté.

Produits Sophos affectés et numéros de versions
Sophos Anti-Virus pour Windows 2000+ (version 7.6.7 et antérieur)
Sophos Anti-Virus pour Windows NT/95/98 (version 4.7.22 et antérieur)
Sophos Anti-Virus pour OS X (version 4.9.22/7.01 et antérieur)
Sophos Anti-Virus pour UNIX (versions 7.0.9 et antérieur/4.41.9 et antérieur)
Sophos Anti-Virus pour Linux (version 6.6.2 et antérieur)
Sophos Anti-Virus pour Netware (version 4.41.9 et antérieur)
Sophos Email Appliance (version 3.1.3.1 et antérieur)
Sophos Web Appliance (version 2.1.18 et antérieur)
PureMessage pour UNIX (version 5.5.4 et antérieur)

Faille qui ignore les fichiers archives mal formés

Lorsqu'ils sont "lus" par le produit Sophos, les fichiers d'archive CAB ne sont pas traités de façon appropriée par le moteur viral ; le fichier archive n'est donc pas pleinement contrôlé par le moteur viral.

Les conséquences possibles de cette faille diffèrent selon que le contrôle viral a lieu à la passerelle ou sur le système d'extrémité :

  • Si on utilise Sophos Anti-Virus sur le système d'extrémité, le malware est piégé à l'extraction/ouverture du fichier en question. Sachez que, si nous apprenons la présence d'une faille dans la nature, Sophos écrira une détection pour le fichier archive lui-même.
  • A l'aide des produits Sophos à la passerelle, le malware passe au travers, mais il est susceptible d'être attrapé par la solution antivirus sur le système d'extrémité.

Action à mener

Cette faille a été corrigée dans les dernières versions des produits affectés. Les clients utilisant les dernières versions de Sophos Anti-Virus et de PureMessage pour Microsoft Exchange ont dû recevoir ces mises à jour automatiquement entre le 20 et le 28 mai 2009. Les clients utilisant Sophos Web et Email Appliances et PureMessage pour UNIX ont fait l'objet d'une mise à jour automatique entre le 20 mai et le 9 juin 2009.

Si vous ne savez pas si vous utilisez la dernière version du logiciel :

  1. Vérifiez quelle version de votre produit Sophos vous utilisez.

  2. Si vous n'utilisez pas l'une des versions énumérées ci-dessous, mettez à jour votre logiciel pour être sûr d'avoir la version 2.87.1 ou supérieur du moteur viral :

    • Sophos Anti-Virus pour Windows 2000+ 7.6.8
    • Sophos Anti-Virus pour Windows NT/95/98 4.7.23
    • Sophos Anti-Virus pour OS X 4.9.23/7.02
    • Sophos Anti-Virus pour Linux 6.6.3
    • Sophos Anti-Virus pour UNIX 7.0.10
    • Sophos Anti-Virus pour Unix et Netware 4.42.0
    • Sophos Email Appliance 3.1.4.1
    • Sophos Web Appliance 3.0.0
    • Pure Message pour Unix 5.5.5

Sophos voudrait remercier Thierry Zoller (G-SEC) pour avoir découvert puis dévoilé cette faille.

Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.