Obrovské nedostatky produktů Symantec vystavují miliony počítačů hackerům

Výzkumník zabezpečení Google zjistil vysoké zranitelnosti v podnikových a spotřebitelských produktech od dodavatele antivirů Symantec, které by hackeři mohli snadno využít k převzetí kontroly nad počítači.

Společnost Symantec vydala opravy pro dotčené produkty, ale zatímco některé produkty byly aktualizovány automaticky, některé ovlivněné podnikové produkty by mohly vyžadovat ruční zásah.

Nedostatky zjistil Tavis Ormandy, výzkumník týmu Google Project Zero, který našel podobné chyby v antivirových produktech jiných dodavatelů. Zdůrazňují špatný stav softwarového zabezpečení ve světě antivirů, což vědci zaznamenali.

Většina nových chyb, které Ormandy našla, je v komponentě Decomposer antivirového modulu Symantec. Tato komponenta zpracovává analýzu různých formátů souborů, včetně archivních souborů, jako jsou RAR a ZIP. Dále je Decomposer spuštěn pod uživatelem systému, což je nejvíce privilegovaný účet v systémech Windows.

Společnost Symantec neodpověděla okamžitě na žádost o připomínky k chybám zabezpečení.

Výzkumníci v oblasti bezpečnosti mnohokrát kritizovali dodavatele antivirů za provádění rizikových operací, jako je analýza souborů se zbytečně zvýšenými oprávněními. Historicky byly takové operace zdrojem mnoha zranitelných míst při spuštění libovolného kódu ve všech druzích aplikací.

Ormandy našel zranitelnosti v kódu Symantec používaném ke zpracování souborů ZIP, RAR, LZH, LHA, CAB, MIME, TNEF a PPT. Většina z těchto nedostatků může vést ke vzdálenému spuštění kódu a je hrozná, což znamená, že mohou být použity k vytvoření počítačových červů.

„Protože společnost Symantec používá ovladač filtru k zachycení všech systémových vstupů / výstupů [operace vstupu / výstupu], stačí ke spuštění souboru odeslat e-mailem oběti nebo odeslat odkaz na zneužití - oběť se nemusí otevřít soubor nebo s ním stejně interagovat, “řekl Ormandy v příspěvku na blogu.

Ještě překvapivější je skutečnost, že se zdá, že společnost Symantec použila kód z knihoven s otevřeným zdrojovým kódem, ale nedokázala importovat záplaty vydané těmito projekty v průběhu let..

Společnost Ormandy například zjistila, že produkty společnosti Symantec používaly verzi 4.1.4 open-source unrar balíčku, který byl vydán v lednu 2012. Nejnovější verze tohoto kódu je 5.3.11. Podobná situace byla také pozorována u jiné knihovny nazvané libmspack.

"Desítky veřejných zranitelností v těchto knihovnách zasáhly společnost Symantec, některé s veřejným využitím," řekl Ormandy. "Poslali jsme společnosti Symantec několik příkladů a oni si ověřili, že při vydáních zaostali."

Neschopnost sledovat zranitelnosti opravené v kódu třetí strany, který používají dodavatelé softwaru a vývojáři ve svých vlastních projektech, je rozšířeným problémem. Existuje však přirozené očekávání, že dodavatelé zabezpečení by tuto chybu neudělali. Koneckonců často kážou ostatním bezpečný vývoj softwaru a správu zranitelností.

Bohužel, „když se podíváme na to, jak i monstrum dodavatele bezpečnostních produktů, jako je Symantec, sdružuje do svých produktů starodávný kód, zjevně nepodstoupil tento kód bezpečnostním přezkumům a testování a jeho doplnění spustí tento starý nebezpečný kód pomocí Oprávnění SYSTEM / root, je zřejmé, že prodejci zabezpečení se neřídí velmi vysokými standardy, “uvedl e-mail Carsten Eiram, hlavní výzkumný pracovník zpravodajské společnosti pro zranitelnost.

Podle údajů RBS bylo letos v bezpečnostních produktech hlášeno 222 zranitelností, což představuje 3,4 procenta všech zranitelností, které se doposud vyskytly v roce 2016.

„To nemusí znít moc, ale ve skutečnosti je to docela významné,“ řekl Eiram.

Společnost Symantec zveřejnila bezpečnostní radu, která uvádí seznam dotčených produktů a obsahuje pokyny, jak je aktualizovat. Všechny produkty Norton - spotřebitelská řada - měly být aktualizovány automaticky.

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.