Avast und AVG: Kritische Sicherheitslücke stillschweigend behoben

In den Malware-Schutzprogrammen der Marken Avast und AVG stand eine als kritisch eingeordnete Sicherheitslücke offen. Die ist inzwischen geschlossen, ebenso eine weitere, weniger schwerwiegende in Avast Free Antivirus.

Jetzt hat der Hersteller Gen Digital, der mit der Marke NortonLifeLock als CNA eingetragen ist und CVE-Einträge erstellen kann, Schwachstelleneinträge dazu veröffentlicht. Demnach fand sich im gemeinsamen Code von Avast und AVG für den Kernel-Treiber der Sandbox ein Double-Fetch in der Windows-Version, den lokale Angreifer zum Ausweiten ihrer Rechte hätten missbrauchen können (CVE-2025-13032, CVSS 9.8, Risiko „kritisch„). Betroffen waren die Versionen vor 25.3. Die hat der Hersteller offenbar am 9. April veröffentlicht, wie einem Foreneintrag dazu zu entnehmen ist. Allerdings ist dort lediglich von „Korrekturen, um Produktstabilität und Performance zu erhöhen“ die Rede – transparent von einer kritischen Sicherheitslücke spricht der Anbieter hingegen nicht.

In der kostenlosen Software Avast Free Antivirus fand sich zudem eine nicht näher erläuterte „Kollision im MiniFilter-Treiber“. Lokale Angreifer mit Admin-Rechten hätten damit den Echtzeitschutz und Verteidigungsmechanismen der Schutzsoftware deaktivieren können (CVE-2025-10905, CVSS 4.4, Risiko „mittel„). Die Entwickler haben den sicherheitsrelevanten Fehler mit Version 25.9 korrigiert. Die verteilt Gen Digital seit Mitte September, verrät ein Foreneintrag – ebenfalls lediglich mit der nichtssagenden Erklärung „Korrekturen, um Produktstabilität und Performance in diversen Komponenten zu erhöhen“.

Zusammengelegter Code

Unter dem Dach Gen Digital sind die Antivirus-Marken Avast, Avira, AVG und Norton/Symantec aufgegangen. Zumindest bei der Übernahme von AVG durch Avast wurden Codeteile rausgeworfen und zusammengeführt, sodass unter den leicht angepassten Bedienoberflächen mit unterschiedlichen Marken faktisch weitgehend dieselbe Codebasis läuft. Wahrscheinlich sieht das auch mit Codebestandteilen von Avira und Norton ähnlich aus. Daher betrifft eine Schwachstelle in der Regel gleich mehrere Produkte von Gen Digital.

Die Sicherheitslücken können aufgrund der automatischen Update-Mechanismen in der Regel zügig geschlossen werden – sofern Nutzer sie nicht deaktiviert haben, was etwa in Unternehmensnetzen passieren kann oder was in Inselnetzen Usus ist. Dort sind IT-Verantwortliche auf zeitnahe Informationen zu Schwachstellen zum zügigen Verteilen der Updates angewiesen. Dass Informationen zu einer Lücke erst über ein halbes Jahr später veröffentlicht werden, nachdem sie geschlossen wurde, ist vor diesem Hintergrund für Admins eigentlich inakzeptabel.

Im Mai wurden zuletzt Sicherheitslücken in einigen Produkten von Gen Digital bekannt. Weitergehende Informationen als verwundbare Komponenten und Versionen gab der Hersteller damals ebenfalls nicht heraus.

(dmk)