imageИсследователи безопасности из группы Zero (созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей), раскрыли информацию о критической уязвимости (CVE-2016-2208) в антивирусном ПО Symantec. При проверке специально оформленных файлов в формате «PE» можно инициировать переполнение буфера и организовать выполнение кода в системе.

В процессе разбора исполняемых файлов, сжатых ранней версией aspack, возможно переполнение буфера в модуле Symantec Antivirus Engine, использованном в большинстве антивирусных продуктов, выпущенных под марками Symantec и Norton. Такая ситуация становится возможна, если секция данных усечена, т.е. если значение SizeOfRawData превышает значение SizeOfImage.

А теперь о самом интересном. Поскольку ПО Symantec использует драйвер-фильтр для перехвата всех операций ввода-вывода в системе, атака может быть произведена путем направления в систему-жертву эксплоита практически любым путем — скажем, в виде почтового сообщения или ссылки на файл.

В системах Linux, Mac и на других UNIX-платформах, таким образом можно добиться удаленного переполнения кучи (heap overflow), произведенной с правами суперпользователя в процессах Symantec или Norton. На Windows, результатом станет повреждение памяти ядра, поскольку там сканирующий модуль загружается в ядро, что может позволить выполнить код с правами ядра на уровне защиты ring0.

Продукты под марками Symantec и Norton интересны еще и тем, что часто входят в поставки ПК и ноутбуков. Это, безусловно, также повлияло на их распространенность, особенно срезу западных пользователей.

Компания-производитель оперативно опубликовала обновление, исправляющее данную уязвимость. Таким образом, важно произвести его установку, в т.ч. и на Unix-серверах (установка потребует перезагрузки сервера).
Используете ли Вы антивирусные продукты Symantec?

Проголосовало 380 человек. Воздержалось 28 человек.

Если да, как они к Вам попали?

Проголосовало 87 человек. Воздержалось 227 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Поделиться с друзьями
-->

Комментарии (12)


  1. anavol
    18.05.2016 09:20

    1. dmitry_ch
      18.05.2016 09:27
      +1

      Да, вы правы, указал данную информацию. Главное, чтобы пользователи ПК, а уж тем более администраторы серверов, не забыли произвести обновление именно ПО (а не только по привычке скачали базы сигнатур). Поскольку обновление потребует перезагрузки, подобного рода обновления кое-то старается делать пореже.


  1. Dmitry_4
    18.05.2016 11:23

    Почему подобные новости не выходят для доктора веба?
    Он так хорошо сделан или просто он как неуловимый джо?


    1. Myosotis
      18.05.2016 11:46
      -1

      Хорошо сделан.
      Или никому не интересно его взламывать :)


      1. Dmitry_4
        18.05.2016 12:05

        Вот и хочу узнать


      1. OnelaW
        18.05.2016 12:25
        +1

        Им мало пользуются на планете. а сделан примерно также как и остальные. В меру дыряв, в меру глючный, в меру отжирает ресурсы. В меру ловит зловреды. Если все антивирусы причесать по умному то окажется, что они имеют примерно одинаковую полезность, в последнее время полезность стремится к нулю, даже при условии что используется так называемое комплексное решение а-ля endpoint protection.


      1. jafariuse
        18.05.2016 12:40
        +1

        дрВэб официальный антивирус Министерства обороны РФ. Так что интерес, в принципе, может быть.


        1. teecat
          18.05.2016 13:36
          +1

          Там сертифицированный антивирус. В сертифицированное ПО вносить изменения без прохождения ИК (минимум 3 месяца) — низзя.


    1. OnelaW
      18.05.2016 12:19

      Почему не выходят? Замечательно выходят. И про вебера и про кашмарского и про антивирус от интела и комоды с нодами всякие и софос и тысячи их. Просто смотрят на распространенность решения в мире. Вот например в СШП больше симантек софос и мкафи (интел) знают. Реже Касперского и прочих.

      В еврозоне больше софос знают, он их правоверный антивирус аглицкий. Авиру еще нахваливают иногда. К NOD и прочим они относятся с пренебрежением.

      У нас вон распространен KAV, хотя от него не отстают Веб с нодом.


      1. teecat
        18.05.2016 13:41

        Глянул в статистику по Европе. Самый распространенный — Windows Defender. На втором месте как правило Авира или Аваст


  1. Alexsandr_SE
    18.05.2016 11:39

    Интересно какие версии подвержены. Или вообще все старые?


    1. dmitry_ch
      18.05.2016 12:43

      Не известно. В описании уязвимости указано только:

      a buffer overflow can occur in the core Symantec Antivirus Engine used in most Symantec and Norton branded Antivirus products

      Most — это, конечно, не очень точное перечисление.