10. März 2026
Drei hochriskante Sicherheitslücken in Avira Antimalware ermöglichen Angreifern etwa das Ausführen von Code mit Systemrechten.
IT-Forscher haben in Aviras Antimalware-Software Sicherheitslücken entdeckt, durch die Angreifer verwundbare Systeme kompromittieren können. Dazu müssen sie teils lediglich Dateien an bestimmte, von Nutzern und Nutzerinnen zugreifbare Orte im Dateisystem ablegen, was zur Ausführung von beliebigem Code mit Systemrechten führt.
Konkret führen die Quarkslab-Analysten die Schwachstellen anhand der kostenlosen „Avira Free Security“-Software vor, allerdings ist auch Avira Internet Security und weitere Software mit den genutzten Komponenten anfällig. Bei allen setzen die Angreifer auf eine Technik, die durch Löschen bestimmter Dateien durch die attackierte Software das Ausführen von Code ermöglicht. Trend Micros Zero-Day-Initiative (ZDI) liefert eine umfassende Erläuterung der Missbrauchsmöglichkeiten.
Avira: Drei hochriskante Sicherheitslücken im Virenschutz
In der Updater-Komponente der Software fehlt eine Prüfung, ob eine Datei unter „C:\ProgramData“ ein symbolischer Link ist. Angreifer können einen bösartigen Link erstellen, um dadurch beliebige Dateien im System zu löschen – aufgrund der Löschung durch den Dienst mit „SYSTEM“-Rechten. Das erlaubt die Ausweitung der Rechte und vollständige Kompromittierung des Systems (CVE-2026-27748, CVSS4 8.5, Risiko „hoch“). Die System-Speedup-Komponente hingegen deserialisiert Daten aus einer Datei in dem vorgenannten Ordner, ohne etwaige Prüfung oder Sicherheitsmassnahmen. Standardmässig können lokale User diese Datei anlegen oder verändern. Angreifer können das direkt lokal oder etwa mittels Social Engineering aus dem Netz gegen arglose Opfer missbrauchen, um beliebigen Code mit „SYSTEM“-Rechten auszuführen (CVE-2026-27749, CVSS4 8.5, Risiko „hoch“).
Die dritte Sicherheitslücke betrifft die Optimizer-Komponente und ist zeitbasiert: Eine Datei wird dabei zwar überprüft, kann vor der Nutzung noch einmal verändert werden (time-of-check time-of-use, TOCTOU). Zunächst scannt der privilegierte Dienst, welche Ordner sich zur Systembereinigung löschen lassen, und löscht die dann später in einem zweiten Durchgang. Angreifer können ein bereits gescanntes Verzeichnis durch eine Junction oder einen sogenannten Reparse Point (auf Deutsch „Analysepunkt“) ersetzen und den Dienst so dazu bringen, beliebige Dateien oder Ordner mit den höchsten Rechten zu löschen, mit den bekannten Folgen (CVE-2026-27750, CVSS4 8.5, Risiko „hoch“).
Die Schwachstellen betreffen Avira-Versionen bis einschliesslich 1.1.109.1990. Die Fassung 1.1.114.3113, die offenbar Anfang Februar 2026 verfügbar wurde, soll die Sicherheitslecks stopfen. Wer Avira einsetzt, sollte daher zügig sicherstellen, dass die Software tatsächlich auf aktuellem Stand ist. Bereits im Mai vergangenen Jahres haben TuneUp und weitere Dienste in Avira, aber auch in AVG- und Norton-Produkten Sicherheitslücken in Windows-Systemen aufgerissen.
Quelle: Heise Security
