web-dev-qa-db-fra.com

CVE-2019-0903 détecté par un seul service antivirus

Sur mon ordinateur Windows 8.1, j'ai créé un document MS Word contenant quelques images que j'ai téléchargées sur Internet et je l'ai exporté au format PDF. La version MS Word est 14.0.7232.5000, 64 bits. J'ai envoyé cela PDF à un certain nombre de destinataires par e-mail.

Un e-mail a rebondi avec la ligne

Erreur MTP du serveur distant pour la commande TEXT, hôte: mailin.snafu.de (84.23.254.51) raison: 550 Ce message contient un malware (Win.Exploit.CVE_2019_0903-6966169-0)

Aucun des autres mails contenant la même pièce jointe n'a rebondi. Lorsque j'ai scanné la pièce jointe avec virustotal.com, un seul des 58 moteurs a signalé une détection, ClamAV. La détection a été étiquetée exactement "Win.Exploit.CVE_2019_0903-6966169-0" (ce qui peut indiquer que le fournisseur utilise ClamAV). Sur la page de détails, une propriété du fichier a été marquée comme suspecte, "Contient au moins un fichier incorporé".

CVE-2019-09 est un débordement de tampon dans Windows GDI.

Question: Est-ce un faux positif? Sinon, pourquoi les autres moteurs ne le détectent-ils pas, même s'il est public depuis le 15 mai et l'entrée CVE est de novembre 2018?

Cela ressemble à un faux positif; de marc.info clamav :

Notre système mis à jour aujourd'hui:

May 25 09:24:20 daily.cld updated (version: 25460, sigs: 1581004, f-level: 
63, builder: raynman)

(L'heure est BST - c'est-à-dire UTC + 1)

Après cela, nous avons vu un grand nombre de virus trouvés - tous détectés comme Win.Exploit.CVE_2019_0903-6966169-0

Cela semble inclure des e-mails sans pièces jointes.

5
bizio