Opløselige fejl i Symantec-produkter udsætter millioner af computere for hacking

En Google-sikkerhedsforsker har fundet sårbarheder med stor sværhedsgrad i enterprise- og forbrugerprodukter fra antivirus-leverandør Symantec, som let kunne udnyttes af hackere til at tage kontrol over computere.

Symantec frigav patches til de berørte produkter, men selvom nogle produkter blev opdateret automatisk, kunne nogle berørte firmaprodukter kræve manuel indgriben.

Manglerne blev fundet af Tavis Ormandy, en forsker med Googles Project Zero-team, der har fundet lignende sårbarheder i antivirusprodukter fra andre leverandører. De fremhæver den dårlige tilstand af softwaresikkerhed i antivirusverdenen, noget som forskere har bemærket.

De fleste af de nye mangler, der findes af Ormandy, er i Decomposer-komponenten i Symantec-antivirusmotoren. Denne komponent håndterer parsning af forskellige filformater, herunder arkivfiler som RAR og ZIP. Desuden kører Decomposer under systembrugeren, den mest privilegerede konto på Windows-systemer.

Symantec svarede ikke straks på en anmodning om kommentarer til sårbarhederne.

Sikkerhedsforskere har kritiseret antivirusleverandører mange gange for at udføre risikofyldte operationer som fil-parsing med unødvendigt forhøjede privilegier. Historisk set har sådanne operationer været en kilde til mange vilkårlige kodeksekvensudførelser i alle slags applikationer.

Ormandy fandt sårbarheder i Symantec-koden, der blev brugt til at håndtere ZIP-, RAR-, LZH-, LHA-, CAB-, MIME-, TNEF- og PPT-filer. De fleste af disse mangler kan føre til ekstern udførelse af kode og er wormable, hvilket betyder, at de kan bruges til at oprette computerorme.

"Fordi Symantec bruger en filterdriver til at opfange alle system I / O [input / output-operationer], er det bare nok at sende en fil til et offer eller sende dem et link til en exploit - offeret behøver ikke at åbne filen eller interagere med den alligevel, ”sagde Ormandy i et blogindlæg.

Endnu mere overraskende er det faktum, at Symantec ser ud til at have brugt kode fra open source-biblioteker, men ikke kunne importere programrettelser, der blev frigivet af disse projekter gennem årene..

For eksempel bestemte Ormandy, at Symantec-produkter bruger version 4.1.4 af en open source unrar-pakke, der blev frigivet i januar 2012. Den seneste version af denne kode er 5.3.11. En lignende situation blev også observeret for et andet bibliotek kaldet libmspack.

"Dusinvis af offentlige sårbarheder i disse biblioteker påvirkede Symantec, nogle med offentlige udnyttelser," sagde Ormandy. "Vi sendte Symantec nogle eksempler, og de bekræftede, at de var bagefter ved udgivelser."

Manglen på at holde styr på sårbarheder, der er rettet i den tredjepartskode, der bruges af softwareleverandører og udviklere i deres egne projekter, er et udbredt problem. Der er dog en naturlig forventning om, at sikkerhedsleverandører ikke vil begå denne fejl. Når alt kommer til alt prædiker de ofte sikker softwareudvikling og sårbarhedsstyring til andre.

Desværre "når man ser på, hvordan selv en behemoth fra en sikkerhedsproduktleverandør som Symantec samler ældgammel kode i deres produkter, har det tydeligvis ikke udsat denne kode for sikkerhedsanmeldelser og test, og for at toppen af ​​det kører denne gamle, usikre kode med SYSTEM / rodprivilegier, det er klart, at sikkerhedsleverandører ikke holder sig til meget høje standarder, "siger Carsten Eiram, chefforsker for sårbarhedsudstyrsfirmaet Risk Based Security, pr. E-mail.

Ifølge RBS 'data er der rapporteret 222 sårbarheder i år i sikkerhedsprodukter, hvilket repræsenterer 3,4 procent af alle sårbarheder, der er set i 2016 indtil videre.

”Det lyder måske ikke meget, men det er faktisk ganske betydningsfuldt,” sagde Eiram.

Symantec har offentliggjort en sikkerhedsvejledning, der viser de berørte produkter og indeholder instruktioner om, hvordan du opdaterer dem. Alle Norton-produkter - forbrugerlinjen - skulle have været opdateret automatisk.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.