Comodo Internet Security: Crash-Lücke in Firewall, Update nicht in Sicht

Im Firewall-Treiber aus Comodo Internet Security 2025 klafft eine Sicherheitslücke, die die Software zum Absturz bringen kann. Das gelingt Angreifern aus dem Netz. Ein Update ist derzeit nicht in Sicht. Nutzerinnen und Nutzer sollten die Software besser deinstallieren. Da Sicherheitslücken immer öfter einen Spitznamen haben, hat auch diese einen verpasst bekommen: „ComoDoS“.

In einem Beitrag schreibt der Entdecker der Schwachstelle, Marcus Hutchins, dass er „Bring Your Own Vulnerable Driver“-Lücken untersucht hat und dabei auf die Schwachstelle gestoßen ist. Er hat dabei eine Künstliche Intelligenz genutzt, die seiner Ansicht nach erstaunlich oft bei Treibern von IT-Sicherheitssoftware anschlägt. Insbesondere bei Software wie Antivirus und Firewalls. Wenn schon die KI so gut ist, darin Probleme ausfindig zu machen, die zur lokalen Rechteausweitung taugen, wollte Hutchins auch mit einer manuellen Analyse herausfinden, ob sich interessante Sicherheitslücken finden lassen.

Zufallstreffer in Comodos Firewall-Treiber

Der Firewall-Treiber „inspect.sys“ kam eher zufällig ins Visier des IT-Forschers, da die KI bei der Untersuchung aus Versehen eine sehr alte Version dieses Treibers untersucht hat. Eigentlich sollte nur der jüngste Treiber in die Analyse gehen, in diesem Fall war es jedoch eine Version aus 2014. Darin fand er eine Reihe bereits geschlossener Sicherheitslücken, stieß aber auch auf einige unglückliche Designentscheidungen. Das Aufspüren von Fehlern war demnach sehr leicht, schwieriger jedoch war die Entdeckung von nützlichen im Sinne von angreifbaren Schwachstellen. Im IPv6-Code wurde er dann fündig. Im Beitrag erklärt er detailliert, was er gefunden hat.

Die Schwachstellenbeschreibung selbst ist etwas knapper: In der IPv6-Paket-Verarbeitung kann ein sogenannter Integer-Unterlauf auftreten – noch bevor Firewall-Regeln greifen. Angreifer können deshalb aus der Ferne ohne vorherige Authentifizierung ein manipuliertes IPv6-Paket senden, um einen Lesezugriff außerhalb vorgesehener Speichergrenzen zu provozieren, was am Ende zu einem Absturz des Systems führt (BSOD). Das klappt auch dann, wenn alle Ports in der Firewall blockiert sind (CVE-2026-49494, CVSS 7.5, Risiko „hoch“).

Hutchins hat Comodo einen vollständigen Fehlerbericht geschickt, eine Ursachenanalyse und sogar mit Vorschlägen, wie die Entwickler das patchen könnten. Auch einen Proof-of-Concept-Exploit hat Hutchins veröffentlicht. Nur – der Hersteller reagierte zunächst nicht, es gab keine Antwort. Comodo Internet Security ist bis einschließlich Version 12.3.4.8162 anfällig für die Attacke. Das ist laut Forum auch die derzeit aktuelle Fassung davon.

Um das System nicht dem Risiko von Abstürzen mit Bluescreen-of-Death (BSOD) auszusetzen, sollten Comodo-Nutzerinnen und -Nutzer die Software deinstallieren. Der Microsoft Defender erkennt Malware ebenfalls ordentlich. Die Windows-Firewall leistet ebenfalls brauchbaren Dienst.

Vor rund einem Jahr fiel Comodo Internet Security ebenfalls durch Sicherheitslücken auf. Die ermöglichten Angreifern, Schadcode einzuschleusen und auszuführen. Betroffen damals: Version 12.3.4.8162. Derart schlecht gewartete Software sollten Nutzer zeitnah entfernen.

(dmk)