Исследователи безопасности из группы Zero (созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей), раскрыли информацию о критической уязвимости (CVE-2016-2208) в антивирусном ПО Symantec. При проверке специально оформленных файлов в формате «PE» можно инициировать переполнение буфера и организовать выполнение кода в системе.В процессе разбора исполняемых файлов, сжатых ранней версией aspack, возможно переполнение буфера в модуле Symantec Antivirus Engine, использованном в большинстве антивирусных продуктов, выпущенных под марками Symantec и Norton. Такая ситуация становится возможна, если секция данных усечена, т.е. если значение SizeOfRawData превышает значение SizeOfImage.
А теперь о самом интересном. Поскольку ПО Symantec использует драйвер-фильтр для перехвата всех операций ввода-вывода в системе, атака может быть произведена путем направления в систему-жертву эксплоита практически любым путем — скажем, в виде почтового сообщения или ссылки на файл.
В системах Linux, Mac и на других UNIX-платформах, таким образом можно добиться удаленного переполнения кучи (heap overflow), произведенной с правами суперпользователя в процессах Symantec или Norton. На Windows, результатом станет повреждение памяти ядра, поскольку там сканирующий модуль загружается в ядро, что может позволить выполнить код с правами ядра на уровне защиты ring0.
Продукты под марками Symantec и Norton интересны еще и тем, что часто входят в поставки ПК и ноутбуков. Это, безусловно, также повлияло на их распространенность, особенно срезу западных пользователей.
Компания-производитель оперативно опубликовала обновление, исправляющее данную уязвимость. Таким образом, важно произвести его установку, в т.ч. и на Unix-серверах (установка потребует перезагрузки сервера).
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (12)
Dmitry_4
18.05.2016 11:23Почему подобные новости не выходят для доктора веба?
Он так хорошо сделан или просто он как неуловимый джо?
Myosotis
18.05.2016 11:46-1Хорошо сделан.
Или никому не интересно его взламывать :)
OnelaW
18.05.2016 12:25+1Им мало пользуются на планете. а сделан примерно также как и остальные. В меру дыряв, в меру глючный, в меру отжирает ресурсы. В меру ловит зловреды. Если все антивирусы причесать по умному то окажется, что они имеют примерно одинаковую полезность, в последнее время полезность стремится к нулю, даже при условии что используется так называемое комплексное решение а-ля endpoint protection.
OnelaW
18.05.2016 12:19Почему не выходят? Замечательно выходят. И про вебера и про кашмарского и про антивирус от интела и комоды с нодами всякие и софос и тысячи их. Просто смотрят на распространенность решения в мире. Вот например в СШП больше симантек софос и мкафи (интел) знают. Реже Касперского и прочих.
В еврозоне больше софос знают, он их правоверный антивирус аглицкий. Авиру еще нахваливают иногда. К NOD и прочим они относятся с пренебрежением.
У нас вон распространен KAV, хотя от него не отстают Веб с нодом.
teecat
18.05.2016 13:41Глянул в статистику по Европе. Самый распространенный — Windows Defender. На втором месте как правило Авира или Аваст
Alexsandr_SE
18.05.2016 11:39Интересно какие версии подвержены. Или вообще все старые?
dmitry_ch
18.05.2016 12:43Не известно. В описании уязвимости указано только:
a buffer overflow can occur in the core Symantec Antivirus Engine used in most Symantec and Norton branded Antivirus products
Most — это, конечно, не очень точное перечисление.
anavol
Утверждается, что уже устранено, обновление накатывается само через LiveUpdate.
dmitry_ch
Да, вы правы, указал данную информацию. Главное, чтобы пользователи ПК, а уж тем более администраторы серверов, не забыли произвести обновление именно ПО (а не только по привычке скачали базы сигнатур). Поскольку обновление потребует перезагрузки, подобного рода обновления кое-то старается делать пореже.