// HEISE ONLINE — CYBERSECURITY
Präparierte PDF-Datei kann Avira Antivirus gefährlich werden
In einer Schwachstellendatenbank sind Lücken in Avira Antivirus aufgetaucht. Bislang listet der Softwarehersteller die Lücken nicht auf. Sie sind aber gepatcht.
Angreifer können an mehreren Sicherheitslücken in Avira Antivirus ansetzen und im schlimmsten Fall Schadcode ausführen, um das System vollständig zu kompromittieren. Überdies ist Avira Password Manager unter bestimmen Bedingungen verwundbar.
In der US-amerikanischen National Vulnerability Database vom National Institute of Standards and Technology (NIST) sind vier Sicherheitslücken in Antivirus (CVE-2026-6676 „hoch“, CVE-2025-9033 „hoch“, CVE-2025-9032 „hoch“, CVE-2025-14098 „hoch“) und eine in Password Manager (CVE-2026-12068 „hoch“) aufgelistet. Im Sicherheitsbereich der Website von Gen Digital, zu der Avira gehört, tauchen die Sicherheitslücken bislang nicht auf. Von den Lücken sind die Linux-, macOS- und Windows-Version betroffen.
Bei Antivirus können Angreifer in allen vier Fällen mit präparierten Dateien an den Lücken ansetzen. Werden manipulierte OSIX-Tar-Archive, PDF-, Windows-PE- oder ausführbare MS-DOS-Dateien verarbeitet, kommt es zu Speicherfehlern (out-of-bounds). So etwas sorgt in der Regel für Abstürze. Oft gelangt in so einem Kontext aber auch Schadcode auf Systeme.
Aus den CVE-Beiträgen geht hervor, dass die Schwachstellen offensichtlich die Scan-Engine betreffen und nicht den Client. Als früheste vollständig gepatchte Scan-Engine-Version nennen die CVE-Einträge 8.3.70.104. Wer Antivirus nutzt, sollte sicherstellen, dass mindestens diese Ausgabe installiert ist.
Es ist derzeit unklar, wann die reparierte Ausgabe erschienen ist. In der Regel genehmigen sich jedoch die AV-Hersteller unter der Gen-Digital-Führung um die drei Monate Zeit, bis sie geschlossene Sicherheitslücken benennen.
Password Manager ist nur in Kombination mit Firefox angreifbar. Ist das gegeben, können Angreifer auf einem nicht näher ausgeführten Weg im Kontext von Autofill-Feldern Zugangsdaten abgreifen. An dieser Stelle nennt der CVE-Eintrag keine dagegen gerüstete Versionsnummer.
Ob Sicherheitslücken, Viren oder Trojaner – alle sicherheitsrelevanten Meldungen gibts bei heise security
Ausführliche Informationen zum Versandverfahren und zu Ihren
Widerrufsmöglichkeiten erhalten Sie in unserer
Datenschutzerklärung.
Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.