Los productos de software no son perfectos y pueden estar lleno de vulnerabilidades, software antivirus incluido. cazadores de errores y sombreros blancos son generalmente los de revelar defectos en aplicaciones, y notificar a los proveedores de manera que una solución se implementa. Si el nombre de Tavis Ormandy es familiar para usted, es porque él ha encontrado y reportado defectos en los productos de las varias veces de Symantec. Su último descubrimiento es CVE-2016-2208.
CVE-2016-2208, Una brecha en el núcleo motor del antivirus de Symantec
Sólo un solo vistazo a La página de Twitter de Ormandy es suficiente para detectar los problemas que ha hecho pública, el último de los cuales un desbordamiento explotable. la explotar, etiquetado CVE-2016-2208, se encuentra en el núcleo del antivirus de Symantec motor aplicado en la mayoría de los productos antivirus de Symantec y Norton, como escribe el investigador.
Al analizar los ejecutables embalado por una primera versión de Aspack, un desbordamiento de memoria puede ocurrir en el núcleo motor del antivirus de Symantec utilizado en la mayor parte de Symantec y Norton Antivirus productos de marca. El problema se produce cuando se trunca datos de la sección, es decir, cuando SizeOfRawData es mayor que SizeOfImage.
Poco dicho, los EE.UU. problema debido a la forma en que manejan productos de Symantec archivos ejecutables comprimidos a través de una versión anterior del software de compresión Aspack. La vulnerabilidad es una ejecución remota de código uno, y la única acción que un atacante necesita explotar está enviando un correo electrónico un archivo a la víctima o enviándoles un enlace. La explotación puede ocurrir ya sea por correo electrónico o un navegador, y afecta a Linux, OS X, y Windows:
en Linux, Mac y otras plataformas UNIX, esto da lugar a un desbordamiento de heap remoto como root en el proceso de Symantec o Norton. En Windows, esto da lugar a daños en la memoria del kernel, como el motor de exploración está cargado en el núcleo (wtf!!!), haciendo de este un ring0 remota vulnerabilidad de corrupción de memoria – esto es casi tan malo como pueda conseguir.
Aprender más acerca de Ejecución remota de código
De acuerdo con los descubrimientos de Ormandy, debido a la naturaleza central de la falla, que afecta a varios productos de Symantec, tal como:
- Symantec Endpoint Antivirus – todas las plataformas;
- Norton Antivirus – todas las plataformas;
- Symantec Scan Engine – todas las plataformas;
- Symantec Seguridad de Correo Electrónico – todas las plataformas.
Los sospechosos investigador que más productos de Symantec pueden ser propensos a la explotación, demasiado. Él ha correspondido con la empresa de seguridad, y correcciones de seguridad están en camino. Esto es respuesta de seguridad de Symantec, publicada en mayo 16.