Die Malware-Schutzsoftware von Comodo, genauer Comodo Internet Security Premium, enthält Schwachstellen, durch die Angreifer Schadcode einschleusen und ausführen können. Unklar ist der derzeitige Patch-Status – es scheint, der Hersteller hat zum Meldungszeitpunkt noch kein Update zum Schließen der Lücken parat.
Die Comodo-Software hat einige Fans damit gewonnen, dass die "Antivirus"-Version kostenlos erhältlich ist. Die etwas größere kommerzielle Variante Internet Security Premium 2025 hat ein IT-Sicherheitsforscher genauer unter die Lupe genommen – und dabei haarsträubende Fehler entdeckt.
Comodos Update-Server halten in der Datei "cis_update_x64.xml" Metadaten von Binärdateien für Software-Updates vor. Die Client-Software überprüft die Authentizität und Integrität dieser Datei nicht, sodass Angreifer in einer Man-in-the-Middle-Position – etwa durch eine DNS-Spoofing-Attacke – dadurch bösartige Skripte einschleusen können, die mit SYSTEM-Rechten laufen. (CVE-2025-7096 / EUVD-2025-20153, CVSS 9.2, Risiko "kritisch"). Diese Manifest-Datei kennt einen Tag "exec", der das Ausühren von Binärdateien mit Parametern erlaubt. Angreifer können beliebige Befehle ausführen lassen, um die Kontrolle zu übernehmen – mit SYSTEM-Rechten (CVE-2025-7097 / EUVD-2025-20157, CVSS 9.2, Risiko "kritisch").
Die Comodo-Software nutzt den Wert in der Sektion "name" sowie "folder" als Download-Dateiname ohne weitere Filterung. Dadurch können Angreifer eine Path-Traversal-Schwachstelle in der Manifest-Datei missbrauchen und damit eine bösartige Datei im Startup-Ordner anlegen lassen; damit können sie nach einem Neustart die Maschine übernehmen (CVE-2025-7098 / EUVD-2025-20155, CVSS 6.3, Risiko "mittel"). Die letzte Schwachstelle betrifft die Verbindung zum Update-Server "download.comodo.com". Der Comodo-Client prüft das SSL-Zertifikat des Servers nicht, wodurch Angreifer etwa mit einer DNS-Spoofing-Attacke den Traffic auf einen falschen Update-Server unter ihrer Kontrolle umleiten können (CVE-2025-7095 / EUVD-2025-20154, CVSS 6.3, Risiko "mittel").
Betroffen ist der vollständigen Analyse mit Proof-of-Concept-Exploits zufolge Comodo Internet Security Premium 12.3.4.8162. Diese war zum Zeitpunkt der Dokumentation Mitte Juni mit allen verfügbaren Updates anfällig. Da die kostenlose Antivirus-Software wahrscheinlich denselben Code für Updates nutzt, dürfte sie ebenfalls verwundbar sein. Der IT-Forscher hat Comodo kontaktiert, jedoch keinerlei Rückmeldung erhalten.
Auch auf unsere Anfrage steht eine Antwort derzeit noch aus. Es ist wahrscheinlich, dass noch keine Updates verfügbar sind, die die Sicherheitslücken schließen.
Virenscanner weisen häufiger Schwachstellen auf, durch die sie eher zur Gefahr werden, anstatt vor solchen zu schützen. So wurde etwa Mitte Juni bekannt, dass der Virenschutz von Trend Micro löchrig war und damit PCs gefährdet hat.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare