![Elementar 2.5 eliberat](/f/b416d2314fae58b465b19f60ce809d9b.png?width=100&height=100)
Symantec Corporation (cunoscută sub numele de Symantec) este o companie americană de tehnologie cu sediul în Mountain View, California, Statele Unite. Compania produce software pentru securitate, stocare, backup și disponibilitate - și oferă servicii profesionale pentru a-și sprijini software-ul. Recent, a fost detectată o vulnerabilitate severă în motorul său antivirus (AVE).
[dropcap] Un cercetător de securitate [/ dropcap] de la Google Project Zero Tavis Ormandy a descoperit o vulnerabilitate foarte critică în Symantec Antivirus Engine (AVE), care permite unui atacator să provoace corupția memoriei, precum și un atacator ar putea trimite victimei un e-mail un fișier special creat sau un link către acesta și să execute codul arbitrar de la distanță.
CVE-2016-2208 O vulnerabilitate legată de modul în care AVE analizează fișierele executabile comprimate folosind software-ul ASPack. Problema afectează o serie de Symantec și Norton, inclusiv Symantec Endpoint Antivirus, Norton Antivirus, Symantec Email Security și Symantec Scan Engine.
Așa cum a spus Symantec Corporation în avizul său cu privire la problema numită CVE-2016-2208. „Nu este necesară nicio interacțiune cu utilizatorul pentru a declanșa analiza fișierului malformat.”
Cercetătorul de securitate de la Google Project Zero Tavis Ormandy a spus că „pentru Linux, OS X și alte sisteme similare Unix, rezultatele exploatării într-un depășire de heap la distanță ca root în procesul Symantec sau Norton și pe Windows, acest lucru duce la corupția memoriei kernel, ca scanare motorul este încărcat în kernel (wtf !!!), făcând din aceasta o vulnerabilitate de corupere a memoriei de apel la distanță0 - este cât se poate de rău eventual obține ”.
Când Tavis Ormandy a încercat să informeze Symantec despre execuția codului la nivelul nucleului deoarece root cauzează o încălcare a accesului în memorie, ceea ce duce în majoritatea cazurilor la o blocare imediată a sistem. Pentru exploatare, trebuie doar să trimită un fișier special creat și nu este necesară nicio altă acțiune. Serverul Symantec Mail nu mai funcționează de îndată ce produsul companiei a despachetat fișierul care conține codul cercetătorului proiectat PoC.
Cercetătorul de securitate de la Google Project Zero Tavis Ormandy a explicat că „Aceasta este o vulnerabilitate la executarea codului la distanță. Deoarece Symantec folosește un driver de filtru pentru a intercepta toate I / O-urile sistemului, este suficient doar să trimiteți prin e-mail un fișier unei victime sau să le trimiteți un link pentru a-l exploata ”.