Os produtos de software não são perfeitos e podem estar cheios de vulnerabilidades, software antivírus incluído. Caçadores de insetos e chapéus brancos costumam revelar falhas em aplicativos, e notificar os fornecedores para que uma correção seja implementada. Se o nome Tavis Ormandy lhe é familiar, é porque ele encontrou e relatou falhas nos produtos da Symantec várias vezes. Sua última descoberta é CVE-2016-2208.
CVE-2016-2208, Uma exploração no mecanismo principal do Symantec Antivirus
Apenas uma olhada Página no Twitter de Ormandy é suficiente para identificar os problemas que ele tornou público, sendo o mais recente um estouro explorável. A exploração, rotulado CVE-2016-2208, encontra-se no principal Symantec Antivirus Engine aplicado na maioria dos produtos Symantec e Norton AV, Como as gravações pesquisador.
Ao analisar executáveis compactados por uma versão anterior do aspack, pode ocorrer um estouro de buffer no mecanismo principal do Symantec Antivirus usado na maioria dos produtos antivírus das marcas Symantec e Norton. O problema ocorre quando os dados da seção são truncados, isso é, quando SizeOfRawData for maior que SizeOfImage.
disse brevemente, o problema devido à maneira como os produtos da Symantec lidam com arquivos executáveis compactados por meio de uma versão mais antiga do software de compactação Aspack. A vulnerabilidade é uma execução remota de código, e a única ação que um invasor precisa explorar é enviar um arquivo por email para a vítima ou enviar um link para ela. A exploração pode acontecer por email ou navegador, e afeta o Linux, OS X, e Windows:
No Linux, Mac e outras plataformas UNIX, isso resulta em um estouro de pilha remota como raiz no processo Symantec ou Norton. no Windows, isso resulta em corrupção de memória do kernel, conforme o mecanismo de verificação é carregado no kernel (wtf!!!), tornando esta uma vulnerabilidade de corrupção de memória ring0 remota – isso é tão ruim quanto possível.
Aprender mais sobre Execução Remota de Código
De acordo com as descobertas de Ormandy, por causa da natureza central da falha, isso afeta vários produtos da Symantec, tal como:
- Symantec Endpoint Antivirus – todas as plataformas;
- Norton Antivirus – todas as plataformas;
- Symantec Scan Engine – todas as plataformas;
- Symantec Email Security – todas as plataformas.
O pesquisador suspeita que mais produtos da Symantec possam estar sujeitos à exploração, também. Ele correspondeu com a empresa de segurança, e correções de segurança estão a caminho. Isto é Resposta de segurança da Symantec, publicado em maio 16.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: