Symantec sidste uge bekræftede, at det havde udviklet rettelser for en serie af otte sårbarheder fundet i sit portefølje af sikkerheds produkter til virksomheder og forbrugere, efter en ekstern forsker identificeret problemet.
En forsker fra Googles Project Zero advaret virksomheden, men der var ingen beviser for, at sårbarheden bliver udnyttet i den vilde, sagde Adam Bromwich, Symantec ‘ s vice president for sikkerhedsteknologier og-svar.
De spørgsmål, der er involveret buffer overflow og hukommelse korruption i Antivirus Moderne motor, der bruges i forskellige sikkerhedsprodukter.
Parsing af skadeligt formateret container-filer kan forårsage ødelagt hukommelse, integer overflow eller bufferoverløb i Symantecs Moderne motor, Bromwich er angivet. Det resulterer typisk i et program-niveau denial-of-service, men at det også kunne medføre udførelse af vilkårlig kode.
En angriber kunne køre vilkårlig kode ved at sende en særligt udformet fil til en bruger, sagde han.
Symantec har kontrolleret spørgsmål, og talte til dem i produkt opdateringer og anbefaler, at brugerne anvender de nødvendige patches til de berørte produkter så hurtigt som muligt, tilføjet Bromwich.
Alle Norton-produkter er blevet opdateret via LiveUpdate. Symantec Enterprise kunder bør tjekke online for at bestemme, hvilke produkter, der har været opdateres automatisk, og som kræver produktopdateringer.
Virksomheder bør begrænse adgang til administrative eller management systemer til autoriserede, privilegerede brugere, Symantec anbefales. De bør begrænse fjernadgang til tillid eller godkendte systemer, og holde operativsystemer aktuelle med sælger patches. Også, de skal bruge en firewall og antimalware-programmer til at give flere lag af sikkerhed.
Udbredt Korruption
De sårbarheder, der blev opdaget af Tavis Ormandy, af Google ‘ s Project Zero, der blev fundet i en række førende sikkerheds-produkter, herunder Norton Security, Norton 360, som alle andre ældre Norton-produkter, Symantec Endpoint Protection, Email Sikkerhed, Beskyttelse af Motor og Beskyttelse for Sharepoint-Servere, ifølge Google.
“Disse sårbarheder er så slemt som det bliver,” Ormandy sagde.
Blandt de sårbarheder, der blev fundet, er eksekverbare packers som UPX, som er værktøjer, der er designet til at reducere størrelsen af eksekverbare filer ved at komprimere dem, bemærkede han.
Mange antivirus-selskaber skrive dedikeret unpackers at vende driften af de mest almindelige packers, så brug emulering til at håndtere mindre almindelige og tilpassede packers, ifølge Ormandy.
Det er meget kompliceret at lave den kode sikkert, påpegede han. I Symantec sag, selskabet havde dedikeret unpackers for et par ældre versioner af ASPack, en kommerciel udpakning software, som udløste en buffer overflow.
En anden svaghed Project Zero opdaget, var der tale om en administrativ indstilling kaldet “bloodhound heuristik” eller “avanceret heuristisk beskyttelse” i Norton Antivirus. Den indstilling havde tre muligheder for lave, automatisk og aggressive, og i den endelige tilstand, en crash hurtigt blev fremkaldt.
Trussel Vektor
“Problemet her er, at Symantec’ s udpakning rutiner i vid udstrækning fandt sted i kernen,” sagde Kevin O ‘ Brien, grundlægger af GreatHorn.
“Dette skaber en større sårbarhed, som det gør Symantec motor en trussel vektor til en lang række af angreb typer, fortalte han TechNewsWorld.
I tilfælde af Symantec, sikkerhedssoftware, der kunne udnyttes til at gå på kompromis endpoint-enheder, O ‘ Brien sagde. Da Symantec mail security er en af truslen vektorer, så en angriber kunne simpelthen sende den rigtige form for angreb for at en virksomhed over normal e-mail.
Symantec fortjener ros for sit svar, at de advarsler, bemærkede han, med henvisning til dets beslutning om at sende en formel bulletiner med det samme.
Som sagt, er de opdagelser, som skal tjene til at advare virksomheder om, at de skal stramme op på deres sikkerhed, tilføjede O ‘ Brien, ved at kombinere endpoint og perimetersikring med yderligere tredjeparts kontrol omkring overvågning, samt omfattende kommunikation, sikkerhed, som kan identificere, om malware er modtaget, og om enheder, der er blevet krænket på operativsystem-niveau.
