赛门铁克产品的伤害缺陷将数百万台计算机暴露在黑客攻击
谷歌安全研究人员从防病毒供应商Symantec的企业和消费者产品中发现了高度严重程度的脆弱性,这可能很容易被黑客利用来控制计算机。
Symantec发布了受影响的产品的补丁,但在一些产品自动更新时,一些受影响的企业产品可能需要手动干预。
Tavis Ormandy是一名与谷歌项目零球队的研究人员发现的缺陷,他们在其他供应商中发现了抗病毒产品的类似漏洞。它们突出了防病毒世界中的软件安全状态差,研究人员已经注意到的东西。
Ormandy发现的大多数新缺陷位于赛门铁克防病毒发动机的分解器组件。此组件处理对各种文件格式的解析,包括像RAR和ZIP等存档文件。此外,分解器在系统用户下运行,在Windows系统上是最特权的帐户。
Symantec并没有立即回复对vultnerabilties的评论请求。
安全研究人员多次批评防病毒供应商,以便使用不必要的提升权限的文件解析等文件。从历史上看,这种操作一直是各种应用程序中许多任意代码执行漏洞的来源。
Ormandy在用于处理Zip,Rar,LZH,LHA,CAB,MIME,TNEF和PPT文件的赛门铁克代码中找到了漏洞。大多数这些缺陷都可以导致远程执行代码,并且是令人无法控制的,这意味着它们可用于创建计算机蠕虫。
“因为Symantec使用过滤器驱动程序拦截所有系统I / O [输入/输出操作],只需将文件通过电子邮件发送给受害者或向漏洞发送链接足以触发它 - 受害者不需要打开无论如何,文件或与之交互,“Ormandy在博客文章中说。
更令人惊讶的是赛门铁克似乎似乎已经使用了开源库的代码,但多年来未能导入这些项目发布的修补程序。
例如,Ormandy确定Symantec产品使用于2012年1月发布的开源未经请求的4.1.4版。该代码的最新版本为5.3.11。对于另一个名为LIBMSPACK的图书馆,也观察了类似的情况。
“这些图书馆的数十名公共脆弱性受到了一些公共利用的赛门铁克,”Ormandy说。“我们向赛门铁克发送了一些例子,他们验证了他们落后于发布。”
未能跟踪在软件供应商和开发人员在自己的项目中使用的第三方代码中修补的漏洞是一个广泛的问题。然而,安全供应商不会犯这个错误的自然期望。毕竟,他们经常向他人传播安全的软件开发和漏洞管理。
不幸的是,“当看看Symantec这样的安全产品供应商的庞然座甚至划船在他们的产品中围绕古代代码时,清楚地将此代码视为安全审查和测试,并将其关闭运行此旧的,不安全的代码系统/ root特权,很明显,安全供应商不受基于电子邮件的漏洞情报公司风险安全的首席研究官Carsten EIRAM,通过电子邮件表示。
根据RBS“数据,今年在安全产品中报告了222个漏洞,其中迄今为止,占2016年所有漏洞的3.4%。
“它可能听起来不太好,但它实际上非常重要,”Eiram说。
Symantec发布了一个安全咨询,列出了受影响的产品,并包含有关如何更新的说明。所有Norton产品 - 消费者线 - 应该自动更新。