7Aug

Programele Symantec Antivirus sunt vulnerabile la o eroare de depășire

Potrivit lui Tavis Ormandy, care provine din echipa Google Project Zero, echipa care este responsabilă cu descoperirea vulnerabilităților în sisteme, el a descoperit că Symantec Antivirus Engine era vulnerabil la o depășire a memoriei tampon atunci când analiza antetul portabil executabil (PE) defect fișiere. El își explică descoperirile mai jos:

„Asemenea fișiere PE malformate pot fi primite prin e-mailuri primite, descărcarea unui document sau a unei aplicații sau prin vizitarea unui site web rău intenționat. Nu este necesară nicio interacțiune a utilizatorului pentru a declanșa analizarea fișierului malformat. Pe Windows, acest lucru duce la coruperea memoriei nucleului, deoarece motorul de scanare este încărcat în nucleu, făcând aceasta o vulnerabilitate la distanță de corupție a memoriei ring0 - aceasta este cât se poate de gravă obține."

Pentru Linux, OS X și alte sisteme asemănătoare Unix, exploitul are ca rezultat o depășire a heap-ului de la distanță ca root în procesul Symantec sau Norton. Symantec, pe de altă parte, a declarat că „cel mai comun simptom al unui atac de succes” ar fi o prăbușire a sistemului și infamul ecran albastru al morții. Ormandy a mai declarat că atunci când a încercat să trimită prin poștă informații Symantec cu privire la vulnerabilitate, e-mailul a prăbușit serverul de e-mail al Symantec.

„Aceasta este o vulnerabilitate de execuție de cod la distanță. Deoarece Symantec folosește un driver de filtru pentru a intercepta toate I/O-ul sistemului, este suficient să trimiți un fișier prin e-mail unei victime sau să îi trimiți un link pentru a-l exploata.”

Symantec a lansat luni o remediere pentru produsele sale și a declarat că produsele sale care rulează LiveUpdate ar trebui să fie corectate până acum. Potrivit lui Ormandy, au fost afectate următoarele produse de pe toate platformele:

  • Symantec Endpoint Antivirus
  • Norton Antivirus
  • Symantec Scan Engine
  • Symantec Email Security

Deși Symantec ar fi putut spune cu cea mai mare încredere că produsele sale au fost corectate, haideți să vedem ce alte vulnerabilități poate descoperi echipa Google Project Zero.