Как стать автором
Обновить

В Symantec Antivirus найдена уязвимость, позволяющая получить полный контроль над системой

Информационная безопасность
imageИсследователи безопасности из группы Zero (созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей), раскрыли информацию о критической уязвимости (CVE-2016-2208) в антивирусном ПО Symantec. При проверке специально оформленных файлов в формате «PE» можно инициировать переполнение буфера и организовать выполнение кода в системе.

В процессе разбора исполняемых файлов, сжатых ранней версией aspack, возможно переполнение буфера в модуле Symantec Antivirus Engine, использованном в большинстве антивирусных продуктов, выпущенных под марками Symantec и Norton. Такая ситуация становится возможна, если секция данных усечена, т.е. если значение SizeOfRawData превышает значение SizeOfImage.

А теперь о самом интересном. Поскольку ПО Symantec использует драйвер-фильтр для перехвата всех операций ввода-вывода в системе, атака может быть произведена путем направления в систему-жертву эксплоита практически любым путем — скажем, в виде почтового сообщения или ссылки на файл.

В системах Linux, Mac и на других UNIX-платформах, таким образом можно добиться удаленного переполнения кучи (heap overflow), произведенной с правами суперпользователя в процессах Symantec или Norton. На Windows, результатом станет повреждение памяти ядра, поскольку там сканирующий модуль загружается в ядро, что может позволить выполнить код с правами ядра на уровне защиты ring0.

Продукты под марками Symantec и Norton интересны еще и тем, что часто входят в поставки ПК и ноутбуков. Это, безусловно, также повлияло на их распространенность, особенно срезу западных пользователей.

Компания-производитель оперативно опубликовала обновление, исправляющее данную уязвимость. Таким образом, важно произвести его установку, в т.ч. и на Unix-серверах (установка потребует перезагрузки сервера).
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Используете ли Вы антивирусные продукты Symantec?
17.76% Да 73
82.24% Нет 338
Проголосовали 411 пользователей. Воздержался 31 пользователь.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Если да, как они к Вам попали?
30.93% Шел в комплекте с ПК/ноутбуком 30
16.49% Куплен самостоятельно 16
52.58% Куплен компанией, где работаю 51
Проголосовали 97 пользователей. Воздержались 248 пользователей.
Теги:symantecnortongooglezeroheap overflowbuffer overflowпереполнение буфера
Хабы: Информационная безопасность
Всего голосов 10: ↑10 и ↓0 +10
Просмотры7.3K

Похожие публикации

Cyber Security Engineer[Security team]
от 4 000 до 5 500 $Coins.phМожно удаленно
Product-manager
от 200 000 ₽ПризываНетМосква
Сетевой инженер
от 100 000 ₽SkyDNSЕкатеринбург
Security engineer
от 150 000 до 300 000 ₽PleskНовосибирскМожно удаленно

Лучшие публикации за сутки