Poważna dziura w produktach Symanteka

Silnik antywirusowy wykorzystywany przez Symanteka w wielu produktach, zawiera łatwą do wykorzystania lukę, która pozwala na przejęcie kontroli nad komputerem. Dziurę załatano w wersji 20151.1.1.4, która została opublikowana przed dwoma dniami. Pozwala ona na wywołanie błędu przepełnienia bufora gdy program antywirusowy sprawdza pliki wykonywalne z odpowiednio spreparowanymi nagłówkami. Użytkownicy produktów Symanteka powinni upewnić się, że ich Anti-Virus Engine (AVE) został zaktualizowany do wersji 20151.1.1.4.

Tavis Ormandy z Google'a, który znalazł dziurę, mówi, że wystarczy, by użytkownik odwiedził złośliwą witrynę, a napastnik będzie mógł wykonać na jego komputerze dowolny kod. Nie jest konieczne nawet otwarcie spreparowanego pliku, gdyż silnik samodzielnie przechwytuje wszystkie operacje I/O i rozpoczyna skanowanie plików. Nie jest ważne również rozszerzenie pliku. Wystarczy, że w nagłówku zostanie on zidentyfikowany jako plik wykonywalny spakowany za pomocą ASPack. Największym problemem jest fakt, że Symantec AVE rozpakowuje tego typu pliki wewnątrz jądra systemu, w regionie o najwyższych uprawnieniach. A to oznacza, że udany atak daje napastnikowi pełny dostęp do komputera ofiary.

Na Linuksie, Maku i innych platformach uniksowych skutkuje to zdalnym przepełnieniem stosu z uprawnieniami roota. Na Windows dochodzi do awarii podsystemu pamięci jądra - mówi Ormandy.

Symantec dziura Anti-Virus Engine