Les produits logiciels ne sont pas parfaits et peuvent être plein de vulnérabilités, logiciel anti-virus inclus. chasseurs de bugs et chapeaux blancs sont généralement ceux de divulguer des failles dans les applications, et d'informer les fournisseurs de sorte qu'un correctif est mis en œuvre. Si le nom Tavis Ormandy est familier, c'est parce qu'il a trouvé et rapporté des défauts dans les produits multiples de Symantec les temps. Sa dernière découverte est CVE-2016-2208.
CVE-2016-2208, Un exploit dans le moteur Symantec Antivirus de base
Juste un seul coup d'œil à La page Twitter de Ormandy est suffisant pour repérer les problèmes qu'il a rendus publics, la dernière étant un débordement exploitable. l'exploit, étiquetés CVE-2016-2208, se trouve dans le noyau Symantec Antivirus Engine appliqué dans la plupart des produits Symantec et Norton AV, comme le chercheur écrit.
Lors de l'analyse par executables emballé une première version de ASPack, un débordement de mémoire tampon peut se produire dans le moteur de base de Symantec Antivirus utilisé dans la plupart Symantec et Norton Antivirus produits de marque. Le problème se produit lorsque les données de section est tronquée, à savoir, lorsque SizeOfRawData est supérieure à SizeOfImage.
Peu dit, la question nous en raison de la façon dont les produits Symantec gèrent les fichiers exécutables compressés par une ancienne version du logiciel de compression Aspack. La vulnérabilité est une exécution de code à distance une, et la seule action un attaquant doit exploiter est emailing un fichier à la victime ou leur envoyant un lien. L'exploit peut se produire soit par e-mail ou un navigateur, et affecte Linux, OS X, et Windows:
Sous Linux, Mac et d'autres plates-formes UNIX, il en résulte un débordement de tas à distance en tant que root dans le processus Symantec ou Norton. Sous Windows, cela se traduit par la corruption de la mémoire du noyau, comme le moteur d'analyse est chargé dans le noyau (wtf!!!), ce qui en fait un ring0 distant vulnérabilité de corruption de mémoire – c'est à peu près aussi mauvais que cela peut éventuellement obtenir.
En savoir plus sur Exécution de code à distance
D'après les découvertes de Ormandy, en raison de la nature fondamentale de la faille, elle affecte plusieurs produits Symantec, comme:
- Symantec Endpoint Antivirus – toutes les plateformes;
- Norton Antivirus – toutes les plateformes;
- Symantec Scan Engine – toutes les plateformes;
- Symantec Email Security – toutes les plateformes.
Les suspects de chercheurs que d'autres produits Symantec peuvent être sujettes à l'exploit, trop. Il a correspondu avec l'entreprise de sécurité, et les correctifs de sécurité sont sur leur chemin. Voici La réponse de sécurité de Symantec, publié en mai 16.