Krytyczna luka w antywirusach marki Symantec

17 maja, 2016

Tavis Ormandy z Google Project Zero odkrył kolejne dziury w zabezpieczeniach antywirusów marki Symantec, a konkretnie w ich silniku antywirusowym (Symantec Anti-Virus Engine), który jest zaimplementowany niemal we wszystkich produktach antywirusowych przeznaczonych do ochrony stacji roboczych oraz komputerów domowych dla Windows, Linux i Mac OS. Mowa konkretnie o:

  • Norton Antivirus 
  • Symantec Email Security
  • i prawdopodobnie o wszystkich produktach Symantec, które wykorzystują silnik SAE

Rzecz miała miejsce trzy miesiące temu, dzisiaj producent udostępnił stosowną aktualizację, która zostanie automatycznie pobrana za pomocą LiveUpdate. Niestety, na razie nie wszyscy otrzymają łatę. 

Tavis wyjaśnia, że niedopuszczalne jest, aby program antywirusowy ładował swój silnik do pamięci kernela i działał z uprawnieniami na poziomie ring0. Silnik antywirusowy przetwarzając pewne dane przesłane przez hakera może doprowadzić do błędu przepełnienia bufora i uraczyć użytkownika niebieskim ekranem śmierci. Najbardziej narażeni na niebezpieczeństwo wykonania kodu są użytkownicy Windows, którym wystarczy wysłać spreparowany nagłówek pliku PE lub podać do niego adres URL. Antywirus, aby chronić przed potencjalnie złośliwą zawartością przeskanuje plik doprowadzając do błędu, w efekcie wyświetli ekran śmierci lub spowoduje swój crash. 

Cin1hMSXIAESAYk
Podatność CVE-2016-2208 dotyczy antywirusów Symantec dla Windows, Linux i Mac OS.

Dzisiaj producent udostępnił aktualizację silnika do wersji 20151.1.1.4, która powinna zostać pobrana automatycznie przez wbudowaną usługę aktualizacji LiveUpdate. Niestety, nie wszystkie produkty zostały załatane. Niektórzy muszą jeszcze poczekać. 

Unfortunately, not all products will be updated the same which of course has impacts on final release of updates and an associated Security Advisory.  Some are quick and fairly simple updates, live update of course, but others require a maintenance patch build, test, release which takes a bit longer.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]