ソフトウェア製品は完全ではなく、脆弱性に満ちている可能性があります, ウイルス対策ソフトウェアが含まれています. バグハンターと白い帽子は通常、アプリケーションの欠陥を明らかにするものです, 修正が実装されるようにベンダーに通知する. TavisOrmandyという名前がおなじみの場合, これは、彼がノートンライフロックの製品の欠陥を何度も発見して報告したためです。. 彼の最新の発見はCVE-2016-2208です.
CVE-2016-2208, コアSymantecAntivirusEngineのエクスプロイト
一目見ただけ OrmandyのTwitterページ 彼が公表した問題を見つけるのに十分です, 最新のものは悪用可能なオーバーフローです. エクスプロイト, ラベル付き CVE-2016-2208, ほとんどのSymantecおよびNortonAV製品に適用されているコアSymantecAntivirusEngineに含まれています, なので 研究者は書いています.
aspackの初期バージョンによってパックされた実行可能ファイルを解析する場合, バッファオーバーフローは、ほとんどのSymantecおよびNortonブランドのアンチウイルス製品で使用されているコアSymantecAntivirusEngineで発生する可能性があります. セクションデータが切り捨てられると、問題が発生します, あれは, SizeOfRawDataがSizeOfImageより大きい場合.
すぐに言った, 古いバージョンのAspack圧縮ソフトウェアを介して圧縮された実行可能ファイルをSymantec製品が処理する方法が原因で問題が発生します. 脆弱性はリモートでコードが実行されるものです, 攻撃者が悪用する必要がある唯一のアクションは、被害者にファイルを電子メールで送信するか、リンクを送信することです。. このエクスプロイトは、電子メールまたはブラウザのいずれかを介して発生する可能性があります, Linuxに影響します, OS X, およびWindows:
Linuxの場合, Macおよびその他のUNIXプラットフォーム, これにより、SymantecまたはNortonプロセスのルートとしてリモートヒープオーバーフローが発生します. Windowsの場合, これにより、カーネルメモリが破損します, スキャンエンジンがカーネルにロードされるとき (wtf!!!), これをリモートring0メモリ破損の脆弱性にする – これはおそらく得ることができるのと同じくらい悪いです.
詳細については リモートコード実行
Ormandyの発見によると, 欠陥の核となる性質のため, いくつかのSymantec製品に影響します, そのような:
- Symantec Endpoint Antivirus – すべてのプラットフォーム;
- ノートンアンチウイルス – すべてのプラットフォーム;
- Symantec Scan Engine – すべてのプラットフォーム;
- Symantec EmailSecurity – すべてのプラットフォーム.
研究者は、より多くのノートンライフロック製品がエクスプロイトの傾向があるのではないかと疑っています, それも. 彼は警備会社と連絡を取りました, とセキュリティの修正が進行中です. これは ノートンライフロックのセキュリティ対応, 5月に公開 16.