I prodotti software non sono perfetti e può essere piena di vulnerabilità, software anti-virus incluso. cacciatori di bug e cappelli bianchi sono di solito quelli a rivelare i difetti nelle applicazioni, e di informare i fornitori in modo che una correzione è implementato. Se il nome Tavis Ormandy è familiare a voi, è perché ha trovato e riportato difetti nei prodotti più volte di Symantec. La sua ultima scoperta è CVE-2016-2208.
CVE-2016-2208, Un exploit nel motore principale Symantec Antivirus
Basta un solo sguardo Pagina Twitter di Ormandy è sufficiente per individuare i problemi che ha fatto pubblica, l'ultima delle quali un overflow sfruttabile. l'exploit, etichettato CVE-2016-2208, si trova nel cuore di Symantec Antivirus Engine applicato nella maggior parte dei prodotti AV Symantec e Norton, come il ricercatore scrive.
Durante l'analisi eseguibili imballato da una prima versione di ASPack, un buffer overflow può verificarsi nel motore di base di Symantec Antivirus utilizzato nella maggior parte di Symantec e Norton Antivirus di marca prodotti. Il problema si verifica quando viene troncato i dati sezione, cioè, quando SizeOfRawData è maggiore di SizeOfImage.
Poco detto, gli Stati Uniti problema a causa del modo in cui i prodotti Symantec di gestire i file eseguibili compressi tramite una versione precedente del software di compressione Aspack. La vulnerabilità è un codice in modalità remota uno, e l'unica azione un attaccante ha bisogno di sfruttare è emailing un file alla vittima o inviando loro un link. L'exploit può accadere sia via e-mail o un browser, e colpisce Linux, OS X, e Windows:
su Linux, altre piattaforme UNIX e Mac, questo si traduce in un heap overflow remoto come root nel processo di Symantec o Norton. Su Windows, questo si traduce in corruzione della memoria del kernel, il motore di analisi viene caricato nel kernel (wtf!!!), rendendo questa una vulnerabilità di corruzione della memoria remota Ring0 – questo è circa così male come si può eventualmente ottenere.
Impara di più riguardo L'esecuzione di codice remoto
Secondo le scoperte di Ormandy, a causa della natura nucleo del difetto, colpisce diversi prodotti Symantec, come:
- Symantec Endpoint Antivirus – tutte le piattaforme;
- Norton Antivirus – tutte le piattaforme;
- Symantec Scan Engine – tutte le piattaforme;
- Symantec Email Security – tutte le piattaforme.
I sospetti ricercatore che più prodotti Symantec possono essere soggette a l'exploit, troppo. Ha corrispondenza con la società di sicurezza, e fix di sicurezza sono in viaggio. Questo è Security Response di Symantec, Pubblicato il 16.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: