Kritische Sicherheitslücke in Avast und AVG geschlossen: Gen Digital veröffentlicht Details zu Schwachstellen

In den Malware-Schutzprogrammen von Avast und AVG existierte eine kritisch einzustufende Sicherheitslücke, die mittlerweile geschlossen wurde. Darüber hinaus wurde ebenfalls ein weniger schwerwiegendes Problem in Avast Free Antivirus behoben. Der Hersteller Gen Digital, der unter dem Dach von NortonLifeLock auch CVE-Einträge erstellt, hat nun detaillierte Schwachstelleneinträge veröffentlicht. Diese belegen, dass im gemeinsamen Code beider Marken für den Kernel-Treiber der Sandbox ein sogenannter Double-Fetch in Windows vorlag. Dieser Fehler hätte lokalen Angreifern ermöglicht, ihre Rechte zu erweitern (CVE-2025-13032, CVSS 9.8, Risiko: kritisch). Betroffen waren Versionen vor 25.3, die laut einem Foreneintrag des Herstellers am 9. April veröffentlicht wurden. In diesem Eintrag wird jedoch lediglich von Korrekturen zur Steigerung der Produktstabilität und -performance gesprochen; eine direkte Ansprache der kritischen Sicherheitslücke fehlt allerdings. Zusätzlich wurde in Avast Free Antivirus eine Kollision im MiniFilter-Treiber festgestellt (CVE-2025-10905, CVSS 4.4, Risiko: mittel), die lokalen Angreifern mit Administratorrechten den Zugriff auf den Echtzeitschutz und die Verteidigungsmechanismen der Schutzsoftware hätte ermöglichen können. Dieses Problem wurde ebenfalls behoben. Gen Digital agiert mit einer zentralen Codebasis, die unterschiedlichen Marken wie Avast, AVG, Avira und Norton zugrunde liegt. Dadurch betrifft eine Schwachstelle in der Regel mehrere Produkte des Konzerns. Automatische Update-Mechanismen sorgen in der Regel für eine schnelle Behebung, sofern sie nicht von den Nutzern deaktiviert werden. In Unternehmensumgebungen oder Inselnetzen ist jedoch zeitnahe Information über Schwachstellen essentiell für die zügige Verteilung von Updates. Die Veröffentlichung von Informationen zu einer bereits geschlossenen Lücke erst nach einem halben Jahr stellt aus diesem Blickwinkel ein Problem dar und kann IT-Verantwortliche in ihrer Arbeit beeinträchtigen. Ein ähnliches Szenario ereignete sich bereits im Mai, als weitere Sicherheitslücken in Gen Digital Produkten bekannt wurden, jedoch ohne nähere Details zur Schwachstelle und den betroffenen Versionen.

Schlagwörter: AVG + CVSS + Avast

Wie bewerten Sie den Schreibstil des Artikels?